Scarica la Guida alla Privacy nel Settore del Marketing

LA PRIVACY NEL
SETTORE DEL
MARKETING
- Una breve guida pratica per i soci di IAB -
INTRODUZIONE
Attuare correttamente la normativa italiana in materia di privacy può essere
molto complesso.
Le previsioni del Codice della Privacy sono, infatti, di difficile interpretazione ed i
vari interventi normativi del legislatore, susseguitisi nel tempo, hanno concorso a
creare un quadro normativo non sempre coerente. Inoltre, la piena
comprensione degli adempimenti previsti dalla legge richiede la conoscenza
della vastissima produzione di decisioni del Garante per la protezione dei dati
personali, che negli anni ha analizzato e meglio definito la portata delle
previsioni di legge, nonché degli orientamenti espressi a livello europeo dall’Art.
29 Working Party, organo consultivo indipendente dell'Unione Europea, che
riunisce le Autorità garanti degli Stati Membri.
Molte aziende faticano ad implementare la legge sulla privacy o spesso vi
rinunciano, sia per la difficoltà oggettiva di osservare gli obblighi normativi sia per
i costi che la compliance inevitabilmente comporta.
Trascurare il tema privacy può, tuttavia, esporre le aziende non solo al rischio di
subire ingenti sanzioni amministrative (ed in taluni casi di incorrere persino in
responsabilità di natura penale) ma anche a non secondari rischi reputazionali.
Gli ultimi numeri disponibili parlano chiaro: dalla relazione per l’anno 2011
sull’attività del Garante per la protezione dei dati personali emerge che le
ispezioni effettuate nell’anno 2011 sono state 447, sulla base di programmi
ispettivi semestrali disposti dall’Autorità. L’attività di controllo nell’anno 2011 ha
riguardato, in particolare, banche, società che gestiscono i pagamenti
attraverso carte di credito, fornitori di servizi di telecomunicazioni, società che
gestiscono banche dati per finalità di marketing, società che effettuano
trattamenti di dati personali facendo ricorso a particolari tecnologie (come i
sistemi di rilevazione satellitare ed il cloud computing) e società che effettuano
attività di profilazione. A seguito delle ispezioni effettuate sono stati avviati 358
procedimenti sanzionatori amministrativi e le entrate dell’Autorità relative
all’attività sanzionatoria per l’anno 2011 sono state pari a 3.073.430 euro. Sono
stati, inoltre, rilevati gli estremi per l’invio all’autorità giudiziaria di 37 informative
(di cui 16 direttamente da parte dell’Autorità e 21 da parte della Guardia di
finanza).
Le aziende che operano nel settore della pubblicità, come i soci di IAB, sono
ancora più esposte al rischio di subire contestazioni, sia per la quantità di dati
che esse tipicamente trattano sia per la complessità della normativa che regola
2
i trattamenti tipici del settore pubblicitario.
La presente guida ha lo scopo di ripercorre brevemente i principali obblighi di
legge in materia di privacy, al fine di consentire ai soci di IAB di effettuare una
prima autovalutazione del proprio livello di compliance e pianificare eventuali
rimedi.
Per tale ragione, la guida non ha alcuna pretesa di esaustività e non tratta temi
specifici – come l’utilizzo dei cookie nell’ambito del behavioural advertising –
che, per la loro complessità, meritano certamente una specifica e separata
trattazione.
Nel testo sono peraltro esaminati alcuni casi pratici, che possono aiutare i soci di
IAB a calare nella realtà le astrazioni della legge.
Roma, 6 maggio 2013
Lapo Curini Galletti
Synthesis (Legal &Tax Network Association)
Italo de Feo
CMS – Adonnino Ascoli & Cavasola Scamoni
Marco Leone
CMS – Adonnino Ascoli & Cavasola Scamoni
3
INDICE
1.
IL QUADRO GIURIDICO DI RIFERIMENTO
1.1. Il Codice della Privacy
1.2. L’ambito di applicazione del Codice
1.3. Le definizioni contenute nel Codice
1.4. Principi generali per il trattamento dei dati
1.5. L’informativa
1.6. Il consenso
1.7. I dati sensibili
1.8. La notificazione
1.9. Il trasferimento dei dati all'estero
1.10. I diritti degli interessati
1.11. Le misure di sicurezza
1.12. Le sanzioni
2. L'ORGANIZZAZIONE INTERNA
2.1. Gli incaricati del trattamento
2.2. Il responsabile interno del trattamento
2.3. I responsabili esterni del trattamento
2.4. Gli amministratori di sistema
2.5. La videosorveglianza
3. I RAPPORTI CON LE DIVERSE CATEGORIE DI INTERESSATI
3.1. Il trattamento dei dati personali dei dipendenti
3.2. Il trattamento dei dati personali dei clienti
3.3. Il trattamento dei dati personali dei fornitori
4. IL MARKETING E LA PROFILAZIONE
4.1. Il marketing
4.2. Il telemarketing
4.3. Il marketing via email, fax, SMS o MMS
4.4. Il marketing via posta cartacea
4.5. Il Codice del Consumo ed il Decreto e-Commerce
4.6. La profilazione
4.6.1
Il consenso
4.6.2
L'informativa
4.6.3
Le modalità del trattamento
4.6.4
Le misure di sicurezza
4.6.5
La notificazione
4.7. I tempi di conservazione dei dati
5
5
5
8
10
11
12
14
15
17
18
20
23
26
26
28
29
33
35
38
38
39
39
40
40
44
46
54
55
58
58
60
60
61
62
65
4
IL QUADRO GIURIDICO DI RIFERIMENTO
1.1. Il Codice della Privacy
Il quadro regolamentare italiano in materia di privacy si fonda, da un lato, sulle
previsioni del D.lgs. 196 del 30 giugno 2003 – Codice in materia di protezione dei dati
personali (il "Codice") e, dall’altro, sui provvedimenti generali del Garante per la
protezione dei dati personali (il "Garante").
Il Codice ha abrogato la precedente Legge 675 del 31 dicembre 1996, recependo la
Direttiva 95/46/CE, che costituisce il testo di riferimento, a livello europeo, in materia di
protezione dei dati personali (di seguito, la “Direttiva Privacy”), e la Direttiva 2002/58/CE,
relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche, come modificata dalla Direttiva 2009/136/CE (di seguito, la
“Direttiva E-Privacy”).
1.2. L’ambito di applicazione del Codice
L’ambito di applicazione del Codice è regalato dall’art. 5, che così dispone:
“1. Il presente codice disciplina il trattamento di dati personali, anche detenuti
all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo
comunque soggetto alla sovranità dello Stato.
2. Il presente codice si applica anche al trattamento di dati personali effettuato
da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione
europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato
anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di
transito nel territorio dell'Unione europea. In caso di applicazione del presente
codice, il titolare del trattamento designa un proprio rappresentante stabilito nel
territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei
dati personali.
3. Il trattamento di dati personali effettuato da persone fisiche per fini
esclusivamente personali è soggetto all'applicazione del presente codice solo se
i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si
applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei
dati di cui agli articoli 15 e 31.”.
Il Codice recepisce pedissequamente i criteri di applicazione previsti dalla normativa
comunitaria, ed in particolare dall’art. 4 della Direttiva Privacy. In virtù di tali criteri, il
Codice si applica ai:
(i) titolari del trattamento stabiliti in Italia o in un luogo soggetto alla sovranità
italiana, anche se i dati sono fisicamente detenuti all’estero. È il caso, ad
esempio, di un editore Internet con sede legale in Italia, che ha i propri server
negli Stati Uniti;
5
(ii) titolari del trattamento stabiliti in un Paese non appartenente all’Unione Europea
ma che impiegano degli strumenti situati nel territorio italiano, anche diversi da
quelli elettronici, per effettuare il trattamento. È il caso, ad esempio, di un ad
network avente sede legale negli Stati Uniti, che utilizza cookies per veicolare
pubblicità comportamentale ad utenti italiani. In tale scenario, l'articolo 4,
paragrafo 2 della Direttiva Privacy impone, peraltro, al titolare del trattamento
l'obbligo di designare un rappresentante nel territorio dello Stato membro la cui
legge trova applicazione.
Sono, invece, del tutto irrilevanti, ai fini della determinazione della legge applicabile, la
cittadinanza, il luogo di residenza abituale e l’ubicazione fisica dell’interessato al
trattamento.
Mentre il caso sub (i) non pone dubbi interpretativi, il caso sub (ii) è particolarmente
problematico, stante la difficoltà di comprendere quali siano gli “strumenti” (o
“equipment” nel linguaggio della Direttiva Privacy) il cui utilizzo comporta l’applicazione
del Codice anche a titolari del trattamento stabiliti in un Paese extra UE.
La complessità delle questioni relative al diritto applicabile sta accentuandosi anche a
causa dell'accresciuta globalizzazione e dello sviluppo di nuove tecnologie: le imprese
operano sempre più in ambiti giurisdizionali diversi, fornendo servizi ed assistenza a livello
globale; Internet facilita la prestazione di servizi e la raccolta e la condivisione di dati
personali in un ambiente virtuale; il cloud computing rende difficile accertare
l'ubicazione dei dati personali e degli strumenti usati in un determinato momento. È
quindi cruciale che l'esatto significato delle disposizioni del Codice e della Direttiva
Privacy concernenti il diritto applicabile sia sufficientemente chiaro.
Nel dicembre 2010, l’Art. 29 Working Party, organo consultivo indipendente dell'UE per la
protezione dei dati personali e della vita privata, che riunisce a livello europeo le
Autorità garanti degli Stati Membri (il “Working Party”), ha pubblicato un parere (Parere
8/2010 sul diritto applicabile) al fine di chiarire l’ambito di applicazione della Direttiva
Privacy.
Il Working Party ha precisato che la Direttiva Privacy si applica anzitutto ai titolari del
trattamento stabiliti in uno Stato Membro. La nozione di stabilimento non viene definita
nella direttiva. Il preambolo della Direttiva Privacy indica, tuttavia, che "lo stabilimento
nel territorio di uno Stato membro implica l'esercizio effettivo e reale dell'attività
mediante un'organizzazione stabile; [e] che la forma giuridica di siffatto stabilimento, si
tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il
fattore determinante a questo riguardo" (considerando 19). L'elemento decisivo per
qualificare uno stabilimento ai sensi della Direttiva Privacy è, dunque, l'esercizio effettivo
e reale di attività nel contesto delle quali sono trattati dati personali. Qualora uno stesso
titolare del trattamento sia stabilito nel territorio di più Stati Membri, esso deve adottare
le misure necessarie per assicurare l'osservanza, da parte di ciascuno di detti
stabilimenti, degli obblighi previsti dal diritto nazionale applicabile. Per chiarire
ulteriormente i criteri di applicazione della legge privacy, il Working Party ha fornito i
6
seguenti esempi:
•
nel primo scenario un titolare del trattamento ha uno stabilimento in Austria e
tratta dati personali nel contesto delle attività di quello stabilimento. Il diritto
applicabile sarà ovviamente quello dell'Austria, in quanto luogo in cui è
ubicato lo stabilimento;
•
nel secondo scenario, il titolare del trattamento ha uno stabilimento in Austria,
e nel contesto delle attività di questo tratta i dati personali raccolti attraverso
il proprio sito web. Il sito web è accessibile agli utenti in vari paesi. Il diritto
applicabile in materia di protezione dei dati è quello dell'Austria – che è il
luogo in cui è ubicato lo stabilimento – indipendentemente da dove si
trovano gli utenti e i dati;
•
nel terzo scenario, il titolare del trattamento è stabilito in Austria e fa effettuare
il trattamento ad un responsabile del trattamento in Germania. Il trattamento
in Germania è effettuato nel contesto delle attività del titolare del
trattamento in Austria; in altre parole, il trattamento è effettuato per i fini
aziendali dello stabilimento austriaco e sotto le sue istruzioni. Il diritto austriaco
sarà applicabile al trattamento effettuato dal responsabile del trattamento in
Germania. Inoltre, il responsabile del trattamento sarà soggetto ai requisiti
della legge tedesca per quanto riguarda le misure di sicurezza che è
obbligato ad attuare in relazione al trattamento;
•
nel quarto scenario, il titolare del trattamento stabilito in Austria apre un ufficio
di rappresentanza in Italia, che organizza tutti i contenuti italiani del sito web e
gestisce le richieste degli utenti italiani. Le attività di trattamento dei dati
svolte dall'ufficio italiano sono effettuate nel contesto dello stabilimento
italiano, pertanto a quelle attività si applicherà il diritto italiano.
Venendo invece al caso del titolare del trattamento stabilito in un Paese non
appartenente all’Unione Europea, ma che utilizza “strumenti” situati in uno Stato
Membro per effettuare il trattamento, il Working Party ha chiarito che non è necessario
che il titolare del trattamento abbia la proprietà e la piena disposizione di tali
“strumenti” affinché la Direttiva Privacy possa trovare applicazione.
Va osservato che vi è una differenza fra il termine adoperato nella versione inglese
dell'articolo 4, paragrafo 1, lettera c) "equipment" (strumenti), e i termini adoperati nelle
altre versioni linguistiche della medesima disposizione, che sono più simili alla parola
inglese "means" (mezzi). In ragione di ciò, il Working Party ha, in effetti, ritenuto che il
termine "equipment" debba essere ritenuto equivalente a "means" (strumenti). Tali
“means” potrebbero essere "automatizzati o non automatizzati", derivandone così
un’interpretazione estensiva del criterio, che includerebbe tanto gli intermediari umani
(ad esempio soggetti incaricati di distribuire dei questionari sul territorio dello Stato)
quanto gli strumenti tecnici utilizzati per il trattamento dei dati (ad esempio un server
collocato nel territorio dello Stato). In un recente parere in materia di cloud computing
(WP 196), il Working Party ha finanche ritenuto che se un cliente di un servizio di cloud
7
computing (titolare del trattamento) è stabilito al di fuori dell’Unione Europea ma
incarica un fornitore di servizi di cloud computing (responsabile del trattamento) con
sede nell’Unione Europea, il fornitore esporta la legislazione sulla protezione dei dati al
cliente (in sostanza il trattamento diventa soggetto alla legge privacy dello Stato
Membro in cui è stabilito il fornitore).
Secondo il Working Party è necessaria una valutazione caso per caso del modo in cui gli
strumenti sono effettivamente usati ai fini della raccolta e del trattamento dei dati
personali. Sulla base di questo ragionamento, il Working Party ha riconosciuto la
possibilità che la raccolta di dati personali attraverso i computer di utenti, come nel
caso di utilizzo di cookie, determini l'applicazione dell'articolo 4, paragrafo 1, lettera c)
(e quindi delle norme dell’Unione sulla protezione dei dati personali) a titolari stabiliti in
Paesi terzi.
L'applicazione della legge nazionale di uno Stato Membro è esclusa quando gli
strumenti usati dal titolare del trattamento e situati nello Stato Membro sono impiegati
solo per il transito sul territorio dell'Unione, come ad esempio nel caso di reti di
telecomunicazione (cavi) o servizi postali che garantiscono solo che le comunicazioni
transitino nell'Unione al fine di raggiungere Paesi terzi.
È il caso di menzionare che l’attuale bozza del nuovo Regolamento europeo sulla
privacy, che una volta approvato sostituirà la Direttiva Privacy, supera il criterio degli
“strumenti”, prevedendo che la normativa europea sulla privacy dovrà applicarsi al
trattamento dei dati personali di residenti nell’Unione effettuato da un titolare del
trattamento che non è stabilito nell’Unione, quando le attività di trattamento
riguardano:
a)
l’offerta di beni o la prestazione di servizi ai suddetti residenti nell’Unione,
oppure;
b)
il controllo del loro comportamento.
1.3. Le definizioni contenute nel Codice
Per comprendere appieno la normativa italiana in materia di privacy è necessario
familiarizzare con alcuni termini fondamentali, che sono definiti ed utilizzati nel Codice.
L'art. 4 del Codice definisce i seguenti termini:
"trattamento", qualunque operazione o complesso di operazioni, effettuati anche
senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione, la
modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati.
8
Si noti che la definizione di "trattamento" è molto ampia e che sostanzialmente
comprende qualsiasi operazione compiuta su dei dati personali.
"dato personale", qualunque informazione relativa a persona fisica, identificata o
identificabile, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale.
È interessante notare che, a seguito di una recente riforma (si veda l’art. 40, co. 2,
let. a), del Decreto Legge 6 dicembre 2011, n. 201, convertito, con modificazioni,
dalla legge 22 dicembre 2011), la definizione di "dato personale" (così come
quella di “interssato”) non menziona più le persone giuridiche, che devono,
pertanto, considerarsi al di fuori del perimetro di applicazione del Codice, fatte
salve le disposizioni del Titolo X (Comunicazioni elettroniche), che, come si dirà
appresso, secondo l’Autorità continuano ad applicarsi anche alle persone
giuridiche.
"dati identificativi", i dati personali che permettono l'identificazione diretta
dell'interessato.
Si tratta tipicamente dei dati anagrafici.
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione
a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la
vita sessuale.
Si tratta dei dati il cui trattamento, per la loro particolare natura, richiede il
rispetto di particolari obblighi, soprattutto relativi al consenso, all’autorizzazione
da parte del Garante ed alle misure di sicurezza da osservare.
"titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della
sicurezza.
Nel caso di società il "titolare" coincide sempre con la persona giuridica che
effettua il trattamento. Ad esempio, nel caso in cui il trattamento sia effettuato
da una S.r.l., il titolare del trattamento è la stessa S.r.l. e non invece il legale
rappresentante della società, come spesso erroneamente si ritiene.
"responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od organismo preposti dal titolare al
trattamento di dati personali.
9
Il "responsabile" può essere tanto una persona fisica individuata all'interno della
struttura organizzativa del titolare (ad es. il capo dell'ufficio del personale) - ed in
tal caso si parla di "responsabile interno" - quanto un fornitore, persona fisica o
giuridica, che tratta dati personali il nome e per conto del "titolare, sulla base di
un contratto di servizio - ed in tal caso si parla di "responsabile esterno".
"incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento
dal titolare o dal responsabile.
Gli "incaricati" sono le singole persone fisiche appartenenti alla struttura
organizzativa del titolare, incaricate dallo stesso di effettuare determinate
operazioni di trattamento (ad es. un impiegato dell'ufficio del personale o
dell’ufficio marketing).
"interessato", la persona fisica cui si riferiscono i dati personali.
Si tratta dei soggetti (persone fisiche) cui i dati personali si riferiscono (es.
dipendenti, clienti e fornitori).
"comunicazione", il dare conoscenza dei dati personali a uno o più soggetti
determinati diversi dall'interessato, dal rappresentante del titolare nel territorio
dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione.
Si parla di "comunicazione" solo quando i dati personali sono comunicati da un
titolare ad un altro autonomo titolare, il quale tratti i dati personali per proprie
finalità di trattamento. Non costituisce invece una "comunicazione" il passaggio
dei dati da un "titolare" ad un contitolare o ad un "responsabile" (interno o
esterno) o ad un incaricato.
"diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in
qualunque forma, anche mediante la loro messa a disposizione o consultazione.
La diffusione si realizza quando i dati personali vengono comunicati ad una
pluralità indeterminata di terzi. Un esempio di diffusione è la pubblicazione di dati
personali su Internet o su un giornale.
"dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere
associato ad un interessato identificato o identificabile.
Si parla di dato anonimo quando non è più possibile risalire all'identità
dell'interessato cui il dato si riferisce.
1.4. Principi generali per il trattamento dei dati
L'art. 11 del Codice stabilisce alcuni principi generali, che devono essere tenuti sempre
in considerazione dai titolari del trattamento:
10
"1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre
operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di
trattamento dei dati personali non possono essere utilizzati."
La norma formalizza:
- il c.d. "principio di liceità", in base al quale i dati personali possono essere trattati solo
entro i limiti stabiliti dalla legge (non è, ad esempio, consentito trattare i dati personali
dei lavoratori in violazione delle previsioni dello Statuto dei Lavoratori);
- il c.d. "principio di necessità", in base al quale occorre trattare dati personali solo ove
strettamente necessario e nella misura in cui non sia possibile perseguire le finalità di
trattamento utilizzando solo dati anonimi. Il principio di necessità è ulteriormente
specificato dall'art. 3 del Codice, ai sensi del quale "i sistemi informativi e i programmi
informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati
identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei
singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di identificare l'interessato solo in caso di
necessità";
- il c.d. "principio di proporzionalità", in base al quale i dati raccolti ed i relativi
trattamenti devono essere commisurati allo scopo perseguito (non è, ad esempio,
consentito raccogliere dati personali dei lavoratori che non siano strettamente necessari
per l'esecuzione del contratto di lavoro, quali informazioni sui gusti, le abitudini, gli
orientamenti politici e religiosi, informazioni sui familiari, ecc.);
- il c.d. "principio di finalità", in base al quale gli scopi perseguiti devono essere
determinati, espliciti e legittimi; ciò comporta che il titolare possa perseguire solo finalità
di sua pertinenza (ad esempio, un sito Internet non potrebbe trattare dati giudiziari dei
propri utenti, nemmeno per motivi di sicurezza).
1.5. L’informativa
11
Uno dei principali obblighi previsti dal Codice è quello di fornire gli interessati dal
trattamento un'informativa privacy, contenente gli elementi previsti dal Codice.
Ai sensi dell'art. 13 del Codice, l'interessato al trattamento deve essere, infatti, informato,
oralmente o per iscritto, prima che sia iniziato qualsivoglia trattamento, circa:
"a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel
territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha
designato più responsabili è indicato almeno uno di essi, indicando il sito della
rete di comunicazione o le modalità attraverso le quali è conoscibile in modo
agevole l'elenco aggiornato dei responsabili. Quando è stato designato un
responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui
all'articolo 7, è indicato tale responsabile."
L'informativa privacy può non comprendere gli elementi già noti alla persona che
fornisce i dati.
1.6. Il consenso
Uno dei cardini su cui poggia l'intera disciplina della privacy è il consenso.
Una regola fondamentale è, infatti, quella per cui, fatte salve talune eccezioni
espressamente previste dal Codice (art. 24), il trattamento dei dati personali è ammesso
soltanto con il preventivo consenso espresso, specifico, libero ed informato
dell'interessato (art. 23):
"1. Il trattamento di dati personali da parte di privati o di enti pubblici economici
è ammesso solo con il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni
dello stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e
specificamente in riferimento ad un trattamento chiaramente individuato, se è
documentato per iscritto, e se sono state rese all'interessato le informazioni di cui
all'articolo 13.
12
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati
sensibili.".
Il consenso dell'interessato deve essere:
A. espresso
Non sono ritenute valide dichiarazioni tacite o comportamenti concludenti
dell'interessato (es. mero silenzio, inerzia davanti ad una proposta, tolleranza di un
trattamento, comportamenti passivi).
B. prestato specificamente in riferimento ad un trattamento chiaramente individuato
L'oggetto del consenso deve essere chiaramente individuato e deve riferirsi ad un
determinato trattamento o a determinate operazioni di trattamento. Il consenso non
può, cioè, riferirsi a qualsiasi trattamento o ad un trattamento genericamente
individuato.
Esso deve inoltre essere prestato "specificamente" per ogni trattamento, non essendo
quindi ammissibile un unico consenso per una pluralità di trattamenti.
Inoltre, poiché anche la comunicazione di dati personali a titolari del trattamento terzi
costituisce un "trattamento" ai sensi del Codice, è necessario ottenere un consenso
espresso e specifico da parte degli interessati anche per effettuare tale comunicazione.
Non è invece necessario alcun consenso per comunicare dati personali a soggetti terzi
che agiscono in qualità di responsabili esterni del trattamento (i quali devono essere
debitamente nominati per iscritto dal titolare del trattamento), poiché tali soggetti
trattano dati personali esclusivamente per conto del titolare del trattamento, in base
alle istruzioni da quest'ultimo impartite.
C. documentato per iscritto
Il titolare del trattamento è tenuto a documentare per iscritto che il consenso
dell'interessato è stato validamente prestato in una certa data e con riferimento ad un
determinato trattamento. Si badi che non è necessario ottenere un consenso scritto da
parte dell'interessato, che è richiesto dal Codice solo per il trattamento dei dati sensibili.
Se i dati personali sono comuni (cioè non sensibili), il consenso deve essere, infatti, solo
documentato per iscritto dal titolare del trattamento (non è cioè necessario ottenere la
sottoscrizione autografa da parte dell'interessato, ma è sufficiente produrre una qualsiasi
prova documentale che attesti l'avvenuto consenso). È in ogni caso consigliabile
acquisire la sottoscrizione autografa dell’interessato tutte le volte in cui le circostanze lo
rendano possibile.
D. informato
Il consenso è validamente prestato solo se all'interessato sia stata preliminarmente
fornita l'informativa di cui all'art. 13 del Codice.
13
E. libero
Il consenso può essere ritenuto libero solo se si presenta come manifestazione del diritto
all'autodeterminazione, al riparo da qualsivoglia pressione, e se non viene condizionato
dall'accettazione di clausole che determinano un significativo squilibrio dei diritti e degli
obblighi dell'interessato.
Ad esempio, secondo l'interpretazione del Garante, non è consentito subordinare la
possibilità di acquistare un bene o fruire di un servizio all'espressione del consenso al
trattamento dei propri dati personali per finalità di marketing. In tal caso, infatti, il
consenso non potrebbe considerarsi libero, essendo la libera determinazione
dell'interessato condizionata dalla necessità di stipulare un contratto con il titolare del
trattamento. Ad esempio, con una decisione del 05 marzo 2009 (doc. web n. 1615731),
l’Autorità ha chiarito che "gli interessati devono essere messi in grado di esprimere
consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li
riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita
dal titolare; […] non risulta quindi conforme ai criteri di liceità e correttezza nel
trattamento dei dati personali, nonché al principio di finalità la scelta di raccogliere un
consenso per eseguire ordinarie obbligazioni contrattuali (art. 24, comma 1, lett. b), cit.)
e collegarlo, altresì, a finalità ulteriori, quali quelle di profilazione della clientela e di
marketing (art. 11, comma 1, lett. a) e b) e art. 23, comma 3, del Codice): […] risulta
pertanto la necessità che [la società] modifichi la modulistica utilizzata per rendere
l'informativa ed acquisire il consenso, fornendo ai clienti la possibilità di prestare consensi
differenziati in relazione alle distinte finalità sopra indicate".
Il trattamento di dati personali può essere effettuato anche senza il consenso
dell'interessato nei casi individuati dall'art. 24 del Codice. Tra questi, per le finalità della
presente guida, occorre certamente menzionare quello previsto alla lettera b) dell'art.
24, che espressamente consente di effettuare il trattamento, anche senza il consenso
dell'interessato, se questo "è necessario per eseguire obblighi derivanti da un contratto
del quale è parte l'interessato o per adempiere, prima della conclusione del contratto,
a specifiche richieste dell'interessato". Tale eccezione è estremamente importante,
poiché consente di prescindere dal consenso dell'interessato tutte le volte in cui il
trattamento di dati personali sia necessario per dare esecuzione ad un contratto di cui
è parte l'interessato (ad es. i termini e le condizioni generali di un sito che sono
accettate dall’interessato in fase di registrazione) ovvero per rispondere a specifiche
richieste dell'interessato nella fase precontrattuale (ad es. per rispondere ad una
richiesta di informazioni da parte di un utente di un servizio online prima
dell’accettazione delle condizioni generali di servizio).
1.7. I dati sensibili
Qualora i dati personali siano di tipo sensibile, il consenso dell'interessato deve essere
reso per iscritto (cioè mediante sottoscrizione autografa dell'interessato o mediante
firma elettronica avanzata, qualificata o digitale). Infatti, ai sensi dell'art. 26 del Codice :
"I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto
14
dell'interessato e previa autorizzazione del Garante, nell'osservanza dei
presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai
regolamenti. […]
I dati sensibili possono essere oggetto di trattamento anche senza consenso,
previa autorizzazione del Garante", inter alia, "[…] d) quando è necessario per
adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento
o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in
materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e
assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del
codice di deontologia e di buona condotta di cui all'articolo 111".
Fatte salve alcune eccezioni minori, i dati personali sensibili possono essere trattati, oltre
che con il consenso scritto dell'interessato, soltanto con la previa autorizzazione del
Garante.
I dati sensibili possono essere trattatati anche senza il consenso degli interessati, ma con
la previa autorizzazione del Garante, in alcune specifiche ipotesi previste dal Codice,
tra le quali, ai fini della presente guida, occorre menzionare la seguente:
"quando è necessario per adempiere a specifici obblighi o compiti previsti dalla
legge, da un regolamento o dalla normativa comunitaria per la gestione del
rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della
popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e
ferme restando le disposizioni del codice di deontologia e di buona condotta di
cui all'articolo 111"
Si badi che il Garante ha emanato una serie di autorizzazioni generali che coprono la
maggior parte dei trattamenti di dati sensibili tipicamente effettuati dalle aziende, per
cui sono piuttosto rari i casi in cui occorra chiedere una preventiva e specifica
autorizzazione al Garante prima di procedere al trattamento. Naturalmente, i
trattamenti devono essere effettuati nel rigoroso rispetto delle prescrizioni impartite dal
Garante con tali autorizzazioni generali. Tra le principali autorizzazioni generali occorre
menzionare le seguenti:
Autorizzazione generale n. 1/2012 al trattamento dei dati sensibili nei rapporti di
lavoro (13 dicembre 2012)
Autorizzazione generale n. 2/2012 al trattamento dei dati idonei a rivelare lo stato di
salute e la vita sessuale (13 dicembre 2012)
Autorizzazione generale n. 5/2012 al trattamento dei dati sensibili da parte di
diverse categorie di titolari (13 dicembre 2012)
1.8. La notificazione
In linea di principio per trattare dei dati personali non occorre inviare alcuna preventiva
notificazione o comunicazione al Garante.
15
Tuttavia, sono previste alcune eccezioni. Infatti, ai sensi dell'art. 37 del Codice:
"Il titolare notifica al Garante il trattamento di dati personali cui intende
procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di
procreazione assistita, prestazione di servizi sanitari per via telematica relativi a
banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di
malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e
monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni,
enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero
a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei
trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per
conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di
mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e
relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al
corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti."
La notificazione è una dichiarazione, effettuata online direttamente sul sito Internet del
Garante, con la quale un soggetto rende nota al Garante l'esistenza di un'attività di
raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del
trattamento. Un modello esemplificativo di notificazione è disponibile al seguente sito
Internet: https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf. Le
notificazioni sono inserite in un registro pubblico, che è consultabile gratuitamente
online. Effettuata la notificazione, il titolare del trattamento può immediatamente
iniziare i trattamenti notificati, senza che vi sia bisogno di alcuna autorizzazione da parte
del Garante.
Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10,
comma 3, D.P.R. n. 445/2000). Qualora il notificante non sia in possesso di firma digitale,
questi può recarsi presso uno dei soggetti convenzionati con il Garante munito del
proprio ID temporaneo (ottenuto al termine della procedura di registrazione sul sito del
Garante) e di un documento di riconoscimento (ed eventualmente della ricevuta di
versamento dei diritti di segreteria, ove non avesse già provveduto ad inserire gli estremi
nell'apposito campo) e, avvalendosi della firma digitale dell’intermediario, trasmettere
16
in via telematica la notificazione. L'elenco degli organismi convenzionati è pubblicato
sul sito del Garante.
Occorre considerare che, nell'ambito dei controlli periodicamente effettuati dal
Garante, il registro pubblico dei trattamenti notificati può essere utilizzato dal Garante
per selezionare i titolari da assoggettare a controllo. Prima di effettuare una
notificazione (es. per profilare i propri clienti/utenti) è bene essere certi che la propria
azienda sia in regola con tutti obblighi previsti dal Codice, poiché la notificazione
aumenta il rischio di subire controlli da parte del Garante.
1.9. Il trasferimento dei dati all'estero
I dati personali possono essere trasferiti liberamente in altri Stati Membri dell'Unione
Europea.
È invece vietato il trasferimento di dati personali, anche temporanei, verso Paesi non
appartenenti all'Unione Europea, quando il Paese di destinazione o di transito dei dati
non assicura un livello di tutela delle persone adeguato.
Questa regola generale trova alcune eccezioni.
Anzitutto, sono consentiti i trasferimenti di dati personali verso i Paesi che sono stati
ritenuti "adeguati" dalla Commissione Europea (per una lista di tali Paesi consultare il sito
http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm).
Il trasferimenti di dati personali verso Paesi non appartenenti all'Unione Europea è inoltre
consentito, tra gli altri, nei seguenti casi (art. 43 del Codice):
“a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati
sensibili, in forma scritta;
b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è
parte l'interessato o per adempiere, prima della conclusione del contratto, a
specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione
di un contratto stipulato a favore dell'interessato.”
Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non
appartenente all'Unione europea, è infine consentito quando è autorizzato dal Garante
sulla base di adeguate garanzie per i diritti dell'interessato (art. 44 del Codice):
“c) individuate dal Garante anche in relazione a garanzie prestate con un
contratto o mediante regole di condotta esistenti nell'ambito di società
appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel
territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza
delle garanzie medesime;”
17
Si tratta delle c.d. binding corporate rules ("BDR"), ovvero delle regole
internamente approvata da imprese appartenenti al medesimo gruppo
societario al fine di assicurare un alto livello di protezione dei dati personali trattati
e consentire la libera circolazione di tali dati all’interno del gruppo. Le BDR
devono essere approvate da almeno una Autorità Garante di uno Stato Membro
(c.d leading Authority). Ad oggi solo pochi grandi gruppi multinazionali hanno
chiesto ed ottenuto l'approvazione di BDR.
“d) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26,
paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del
24 ottobre 1995, con le quali la Commissione europea constata che un Paese
non appartenente all'Unione europea garantisce un livello di protezione
adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.”
Si tratta di contratti standard approvati dalla Commissione Europea, la
sottoscrizione dei quali consente il trasferimento di dati personali da un titolare
stabilito in uno Stato Membro dell'Unione Europea ad un responsabile stabilito in
un Paese non appartenente all'Unione Europea. È, inoltre, stato approvato un
modello contrattuale che consente il trasferimento di dati personali da un titolare
stabilito in uno Stato Membro dell'Unione Europea ad un responsabile stabilito in
un Paese non appartenente all'Unione Europea (ad esempio, un fornitore di
servizi di informatici in modalità cloud computing). Per maggiori informazioni e
per reperire copia dei contratti standard, si prega di visitare il sito
http://ec.europa.eu/justice/data-protection/document/internationaltransfers/transfer/index_en.htm.
È importante sottolineare che anche il mero accesso a dati personali effettuato da
soggetti che si trovano in un Paese terzo (es. società indiana che visualizza dati che si
trovano su un server situato in Italia mediante accesso remoto online) configura un
trasferimento di dati all’estero.
1.10. I diritti degli interessati
L'art. 7 del Codice riconosce agli interessati i seguenti diritti:
"1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non ancora registrati, e la loro
comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di
strumenti elettronici;
18
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante
designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione
dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si
rivela impossibile o comporta un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano,
ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale."
Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è
tenuto ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche
attraverso l'impiego di appositi programmi per elaboratore finalizzati ad
un'accurata selezione dei dati che riguardano singoli interessati identificati o
identificabili;
b) a semplificare le modalità ed a ridurre i tempi per il riscontro all’interessato,
anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.
I dati sono estratti a cura del responsabile o degli incaricati, e possono essere
comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti
elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata
anche la qualità e la quantità delle informazioni. Se vi è richiesta, occorre provvedere
19
alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro
trasmissione per via telematica. Salvo che la richiesta sia riferita ad un particolare
trattamento o a specifici dati personali o categorie di dati personali, il riscontro
all'interessato deve comprendere tutti i dati personali che riguardano l'interessato
comunque trattati dal titolare. Il riscontro all'interessato deve essere fornito entro un
termine massimo di 15 giorni. È dunque molto importante che le aziende si dotino di
procedure interne idonee ad evadere le richieste pervenute nei tempi previste dalle
legge.
Si badi, inoltre, che, prima di rispondere ad una richiesta di esercizio dei diritti di cui
all'art. 7, il titolare deve verificare l'identità del soggetto che effettua la richiesta, sulla
base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o
esibizione o allegazione di copia di un documento di riconoscimento. Se la richiesta è
effettuata da un terzo per conto dell'interessato, la persona che agisce per conto
dell'interessato deve esibire o allegare copia della procura, ovvero della delega
sottoscritta in presenza di un incaricato, o della delega sottoscritta e presentata
unitamente a copia fotostatica non autenticata di un documento di riconoscimento
dell'interessato.
1.11. Le misure di sicurezza
Tra gli obblighi principali di titolari del trattamento vi è quello di garantire la sicurezza dei
dati personali.
Ai sensi dell'art. 31 del Codice:
"i dati personali oggetto di trattamento sono custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei
dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme alle finalità della
raccolta.".
Le misure di sicurezza devono pertanto essere adeguate alle tipologie di trattamento
effettuate ed aggiornate in base al progresso tecnologico.
Il Codice prevede delle misure di sicurezza c.d. "minime", che devono in ogni caso
essere implementate da tutti i titolari del trattamento. Tali misure minime sono
specificate dagli artt. 33 e seguenti del Codice nonché nell'Allegato B al Codice.
In particolare, con riferimento a trattamento di dati personali effettuati con strumenti
elettronici (ad es. personal computer), l'art. 34 prevede che:
"Il trattamento di dati personali effettuato con strumenti elettronici è consentito
solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto
nell'allegato B), le seguenti misure minime:
20
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di
dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;".
Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici (ovvero
manualmente) è invece consentito, secondo quanto previsto dall'art. 35 del Codice,
solo se sono adottate, nei modi previsti dal disciplinare tecnico, le seguenti misure
minime:
"a) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati
agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati."
Tutte le misure di sicurezza sopra menzionate sono meglio esplicitate nell'Allegato B al
Codice. L'analisi dettagliata di tali misure esula dallo scopo della presente guida. È
tuttavia importante evidenziare che tutte le aziende sono tenute ad implementare tali
misure di sicurezza con la massima diligenza, atteso che, come si dirà in seguito, sono
previste cospicue sanzioni amministrative, nonché di natura penale, in caso di violazioni.
Gli obblighi relativi alle misure di sicurezza sono stati notevolmente ridotti dal recente
"decreto sviluppo", cha ha eliminato l'obbligo di redigere il c.d "Documento
Programmatico sulla Sicurezza" (DPS), documento riepilogativo di tutti i trattamenti e
delle relative misure di sicurezza adottate dal titolare del trattamento per proteggere i
dati personali. È, tuttavia, comunque necessario stilare un documento interno, da
aggiornare almeno annualmente, che elenchi i nominati degli incaricati del
trattamento nominati dal titolare (con il relativo profilo di autorizzazione) nonché dei
responsabili del trattamento esterni ed interni. Inoltre, è altamente consigliabile
predisporre in ogni caso un documento interno che riepiloghi le misure di sicurezza
adottate e continuare la programmazione di interventi formativi in materia di privacy in
21
favore degli incaricati addetti alle operazioni di trattamento.
Occorre, infine, dar conto di alcuni provvedimenti c.d. "di semplificazione", adottati dal
Garante per rendere meno onerosi gli adempimenti in materia di privacy in relazione ai
trattamenti effettuati da chiunque per correnti finalità amministrative e contabili (in
particolare presso piccole e medie imprese, liberi professionisti e artigiani). L'art. 35, co.
1-ter del Codice, chiarisce che i "trattamenti effettuati per finalità amministrativocontabili sono quelli connessi allo svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In
particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali
all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di
lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in
materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul
lavoro". I provvedimenti di semplificazione ad oggi emanati sono i seguenti:
o
o
o
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico
di cui all'Allegato B) al Codice in materia di protezione dei dati personali 27 novembre 2008 [doc. web n. 1571218];
Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto
a trattamenti per finalità amministrative e contabili - 19 giugno 2008 [doc.
web n. 1526724]
Guida pratica e misure di semplificazione per le piccole e medie imprese 24 maggio 2007 [doc. web n. 1412271].
Possono beneficiare delle misure semplificate per applicare le misure minime di
sicurezza nel trattamento dei dati personali i soggetti pubblici o privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili
riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo
stato di salute o malattia senza indicazione della relativa diagnosi, ovvero
dall'adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalità amministrative e
contabili, in particolare presso liberi professionisti, artigiani e piccole e medie
imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla
disciplina comunitaria dei criteri di individuazione di piccole e medie imprese,
pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
Possono beneficiare delle altre semplificazioni tutti i titolari del trattamento in ambito
privato e pubblico, ed in particolare le piccole e medie imprese, i liberi professionisti e gli
artigiani.
È bene considerare che, stante la definizione piuttosto generica di "trattamenti effettuati
per finalità amministrativo-contabili", molte imprese potrebbero non essere nella
condizione di poter beneficiare dei provvedimenti di semplificazione. Sarebbe, infatti,
sufficiente svolgere delle attività di marketing o di profilazione perché si possa sostenere
che il titolare persegua finalità di trattamento ulteriori rispetto a quelle propriamente
22
amministrativo-contabili. Pertanto, non essendovi ancora precedenti giurisprudenziali sul
tema, al fine di minimizzare i rischi di incorrere in eventuali sanzioni, è comunque
consigliabile implementare tutte le misure minime di sicurezza previste dal Codice,
indipendentemente da quanto previsto dai provvedimenti di semplificazione.
1.12. Le sanzioni
Per quanto concerne i profili sanzionatori, il Codice prevede, tra le altre, le seguenti
sanzioni:
(i)
l'omessa o inidonea informativa all'interessato è punita con la sanzione
amministrativa del pagamento di una somma da seimila euro a trentaseimila
euro (art. 161 del Codice);
(ii)
in caso di trattamento di dati personali effettuato senza il consenso degli
interessati (ove richiesto dalla legge) è applicata in sede amministrativa, in
ogni caso, la sanzione del pagamento di una somma da diecimila euro a
centoventimila euro (art. 162 del Codice);
(iii)
chiunque, essendovi tenuto, non provvede tempestivamente alla
notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie
incomplete, è punito con la sanzione amministrativa del pagamento di una
somma da ventimila euro a centoventimila euro (art. 163 del Codice).
Se taluna delle violazioni di cui agli articoli 161, 162 e 163 è di minore gravità, avuto
altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e
massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti (art. 164bis, co. 1 del Codice).
In caso di più violazioni di un'unica o di più disposizioni, commesse anche in tempi diversi
in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione
amministrativa del pagamento di una somma da cinquantamila euro a trecentomila
euro (art. 164-bis, co. 2 del Codice).
In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio
per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i
limiti minimi e massimi delle sanzioni menzionate nel presente paragrafo sono applicati in
misura pari al doppio (art. 164-bis, co. 3 del Codice).
Le stesse sanzioni possono essere aumentate fino al quadruplo quando possono risultare
inefficaci in ragione delle condizioni economiche del contravventore (art. 164-bis, co. 4
del Codice).
Sono inoltre previste alcune sanzioni penali:
- Art. 167: Trattamento illecito di dati
"1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per
23
altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in
violazione di quanto disposto dagli articoli 18, 19, 23 [n.d.r. consenso dell'interessato],
123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva
nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella
comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per
altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in
violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26 [n.d.r.
trattamento di dati sensibili], 27 e 45, è punito, se dal fatto deriva nocumento, con la
reclusione da uno a tre anni."
- Art. 168: Falsità nelle dichiarazioni e notificazioni al Garante
"1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti
o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di
accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o
documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione
da sei mesi a tre anni."
- Art. 169: Misure di sicurezza
"1.(1) Chiunque, essendovi tenuto, omette di adottare le misure minime previste
dall'articolo 33 è punito con l'arresto sino a due anni."
(2) All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con
successivo atto del Garante, è impartita una prescrizione fissando un termine per la
regolarizzazione non eccedente il periodo di tempo tecnicamente necessario,
prorogabile in caso di particolare complessità o per l'oggettiva difficoltà
dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi
allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è
ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione
stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il
reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei
modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e
successive modificazioni, in quanto applicabili.".
- Art. 171: Altre fattispecie
"1. La violazione delle disposizioni di cui agli articoli 113, comma 1 [n.d.r. divieto di
indagini sulle opinioni dei lavoratori], e 114 [n.d.r. divieto di controllo a distanza dei
lavoratori] è punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n.
300. [n.d.r. ammenda da euro 154 a euro 1.549 o con l'arresto da 15 giorni ad un anno]"
- Art. 170: Inosservanza di provvedimenti del Garante
"1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai
24
sensi degli articoli 26, comma 2 [n.d.r. autorizzazione al trattamento di dati sensibili], 90,
150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a
due anni.".
25
2. L'ORGANIZZAZIONE INTERNA
In questo capitolo illustreremo brevemente come le aziende devono organizzarsi al
proprio interno per rispettare la normativa italiana in materia di privacy.
2.1. Gli incaricati del trattamento
Come si è visto, gli incaricati del trattamento sono le singole persone che effettuano un
trattamento di dati personali per conto del titolare e sotto la direzione dello stesso.
Tipicamente si tratta di dipendenti o collaboratori dell’azienda. Recita, infatti, l'art. 30
del Codice che: "le operazioni di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorità del titolare o del responsabile,
attenendosi alle istruzioni impartite". Non sarebbe dunque possibile nominare quali
incaricati del trattamento delle persone fisiche sulle quali il titolare e/o il responsabile
non esercitino un diretto potere gerarchico. Gli incaricati del trattamento devono essere
designati per iscritto dal titolare o dal responsabile, indicando puntualmente l'ambito di
trattamento consentito (ovvero, il tipo di dati che possono essere trattati dall'incaricato,
le finalità e le modalità del trattamento e stabilire il divieto di trattare dati non afferenti
all’attività dell’incaricato).
Poiché la designazione su base individuale può essere molto onerosa, specialmente in
aziende di grandi dimensioni o particolarmente complesse, è possibile effettuare delle
designazioni di gruppo, individuando gli ambiti di trattamento consentiti ad un’intera
unità aziendale. In altri termini, è possibile predisporre un documento scritto contenente
l'indicazione dei trattamenti consentiti a tutti i lavoratori appartenenti ad una
determinata unità o ad uno specifico dipartimento aziendale (es. ufficio del personale).
Un’azienda può, ad esempio, effettuare delle nomine collettive per l'ufficio
amministrazione, per l'ufficio del personale, per l'ufficio marketing, ecc.
Per poter beneficiare di questa possibilità, i titolari del trattamento devono essere in
grado di documentare la preposizione di ciascun incaricato del trattamento a quella
determinata unità; ciò in quanto ciascun incaricato del trattamento deve sapere a
quale unità aziendale appartiene, in modo tale da poter prendere visione delle istruzioni
collettivamente impartite a detta unità. Alle aziende che intendano ricorrere a questa
modalità di designazione degli incaricati, si consiglia, pertanto, di esplicitare l'unita
aziendale di assegnazione già al momento dell'assunzione di ciascun dipendente e di
redigere un organigramma aziendale da esporre in bacheca (o da pubblicare
sull’intranet aziendale), che dovrà essere esibito al Garante in caso di controlli.
Effettuare le nomine degli incaricati del trattamento è estremamente importante. La
mancata nomina può, infatti, astrattamente configurare una violazione dell’art. 33 del
Codice (misure di sicurezza), la cui violazione è punita, oltre che con una cospicua
sanzione amministrativa, anche con l’arresto sino a due anni.
IL CASO PRATICO
26
Nel maggio 2009 il Garante emetteva un verbale di contestazione nei confronti di
una nota società di produzione televisiva per la violazione degli articoli 30 e 33 del
Codice, ovvero per non aver provveduto alla nomina degli incaricati del
trattamento, così violando la disciplina del Codice in materia di misure minime di
sicurezza.
La società presentava degli scritti difensivi, argomentando che:
a) circa la designazione per iscritto degli incaricati del trattamento, che:
- "nel marzo del 2005 la Società aveva regolarmente provveduto alla nomina per
iscritto degli incaricati del trattamento";
- all’atto dell’intervento ispettivo, "la Società stava da qualche mese valutando
l’implicazione dei provvedimenti emanati dal Garante in materia di semplificazione
[…] In particolare, a seguito di alcuni cambiamenti nella struttura della società e
del personale […], la Società aveva deciso di procedere con una nomina degli
incaricati per classi omogenee". Per tale motivo "il direttore generale ha richiamato
la decisione della Società di procedere con una nomina per classi omogenee,
nomina che – anche a seguito delle suddette norme di semplificazione – la Società
aveva pensato di poter fare solo oralmente, per poi decidere […] di farlo invece
per iscritto, in uno con l’aggiornamento del DPS";
b) con riferimento all’applicabilità della sanzione di cui all’art. 162, comma 2-bis,
del Codice alla fattispecie in esame, che "la nomina per iscritto dell’incaricato del
trattamento non è una misura minima di sicurezza individuata nel […] Capo II del
Titolo V del Codice, né è menzionata nel relativo Allegato B) del Codice […] L’art.
162, comma 2-bis, del Codice non si applica, dunque, alla violazione dell’art. 30 del
Codice (che, peraltro, appare priva di specifica sanzione)";
c) in merito al comportamento complessivo dalla società, che "la Società è da anni
puntuale nell’applicazione delle norme in materia di privacy, […] ha sempre
effettuato attività di formazione in materia di privacy […], ha pubblicato policy e
procedure per l’uso di Internet e delle email in azienda, ha nominato i responsabili
esterni quando necessario, ha provveduto alla nomina dell’amministratore di
sistema, ha implementato e aggiornato tempestivamente il DPS e le misure minime
di sicurezza"; la società, inoltre, comunicava di aver tempestivamente provveduto,
successivamente all’attività ispettiva svolta dalla Guardia di finanza, alla
designazione per iscritto di responsabili ed incaricati del trattamento dei dati.
Il Garante riteneva che le argomentazioni addotte non fossero idonee ad
escludere la responsabilità amministrativa in ordine a quanto contestato in quanto:
a) con riferimento alla violazione dell’art. 33 del Codice, risultava accertato in atti
che la società non aveva provveduto alla designazione per iscritto di una parte
degli incaricati del trattamento ai sensi dell’art. 30 del Codice, con ciò
determinando la mancata applicazione di quella parte di misure minime di
27
sicurezza che il Codice riconduce all’attività degli incaricati del trattamento
medesimo. Al riguardo, il Garante sottolineava che la mancata designazione degli
incaricati del trattamento non costituisce un mero inadempimento formale, ma si
configura come atto presupposto indispensabile per l’applicazione della parte più
significativa delle misure di sicurezza da adottarsi per il trattamento dei dati
personali ed è strettamente correlata all’attività degli incaricati del trattamento
(ovvero di coloro che ordinariamente operano sui dati personali), mirando a fornire
agli stessi le istruzioni da seguire per il corretto trattamento dei dati; per tali ragioni,
la mancata designazione per iscritto degli incaricati, ai sensi dell’art. 30, secondo
l’Autorità, determinava la mancata applicazione di tutte quelle misure minime di
sicurezza, di cui all’art. 33 e seguenti, che il disciplinare tecnico (allegato B al
Codice) riconduce all’attività degli incaricati del trattamento medesimo (regole nr.
1-10; 12-14; 15 e 17 dell’allegato B) e comporta, quindi, l’applicazione della
sanzione di cui all’art. 162, comma 2- bis, del Codice;
Circa l’applicabilità del provvedimento del Garante di semplificazione delle misure
minime di sicurezza datato 27 novembre 2008 [doc. web n. 1571218], che prevede
la possibilità di impartire istruzioni agli incaricati anche oralmente, l’Autorità rilevava
che la Società non potesse rientrare nell’ambito soggettivo di applicazione della
predetta semplificazione poiché la società, in ragione del proprio volume d’affari,
superava i parametri previsti dal d.m. 18 aprile 2005, recante adeguamento alla
disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, per la
classificazione all’interno di tale categoria di soggetti.
Il Garante comminava, pertanto, una sanzione amministrativa pari a euro 30.000.
Tuttavia, visto l’art. 164-bis, comma 4, del Codice, che prevede che le sanzioni
amministrative di cui al Titolo III, Capo I, del Codice possono essere aumentate fino
al quadruplo quando possono risultare inefficaci in ragione delle condizioni
economiche del contravventore, e rilevato che l’applicazione della predetta
sanzione nei confronti della Società sarebbe risultata inefficace, in ragione del
volume d’affari rilevabile dal bilancio dell’anno 2009, il Garante aumentava la
sanzione ad euro 90.000,00.
2.2. Il responsabile interno del trattamento
I titolari del trattamento possono nominare uno o più responsabili del trattamento,
affidando loro determinati compiti. Ad esempio, un’azienda X potrebbe nominare il sig.
Y, capo dell'ufficio amministrativo, quale responsabile interno del trattamento dei dati
dei clienti.
Contrariamente a quanto si dirà di seguito per i responsabili del trattamento esterni, la
designazione del responsabile del trattamento non è obbligatoria né è utile per liberare
il titolare della responsabilità derivante dal trattamento di dati personali. Infatti, il titolare
può essere in ogni caso sanzionato dall'Autorità in caso di violazione delle disposizioni
del Codice o essere citato in giudizio dagli interessati per ottenere il risarcimento di ogni
danno subito, anche nel caso in cui le violazioni siano state commesse esclusivamente
dal responsabile interno. Tuttavia, la designazione dei responsabili può essere utile nelle
28
grandi organizzazioni aziendali, poiché, ripartendo le responsabilità tra più soggetti, può
risultare più facile gestire gli obblighi in materia di privacy ed assicurare il
conseguimento di un più elevato livello di compliance.
Si badi, tuttavia, che, se designato, il responsabile deve essere individuato tra soggetti
che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di privacy, ivi compreso il profilo relativo alla
sicurezza. Inoltre, i compiti affidati al responsabile devono essere analiticamente
specificati per iscritto dal titolare.
Il responsabile deve attenersi rigorosamente alle istruzioni impartite dal titolare, il quale,
anche tramite verifiche periodiche, deve vigilare sulla puntuale osservanza delle
disposizioni del Codice e delle proprie istruzioni.
Qualora si stato nominato un responsabile del trattamento, il nominativo di questo deve
essere menzionato nell’informativa privacy agli interessati i cui dati sono trattati da tale
responsabile. Qualora sia stato nominato più di un responsabile, occorre menzionare il
nominativo di almeno uno di essi ed indicare le modalità attraverso le quali è possibile
ottenere un elenco completo dei responsabili nominati dal titolare (ad esempio,
indicando un indirizzo di posta elettronica, scrivendo al quale è possibile ottenere tale
elenco).
2.3. I responsabili esterni del trattamento
Si suole parlare di "responsabile esterno del trattamento" quando un soggetto, persona
fisica o persona giuridica, estraneo all'organizzazione gerarchica del titolare, effettua
operazioni di trattamento di dati personali per conto e nell'interesse del titolare. Il caso
tipico è quello del fornitore di un’azienda fornitrice che, in esecuzione di un contratto di
servizio, tratti dati personali per conto di un’azienda committente (ad esempio,
un’azienda che affidi ad un fornitore terzo il servizio di invio delle proprie email
pubblicitarie). In tale contesto il fornitore tratta dei dati personali non già per proprie
finalità di trattamento ma in nome e per conto di un determinato titolare del
trattamento, in esecuzione di un contratto di servizio ed attenendosi alle istruzioni
ricevute dal titolare, essendo pertanto da considerarsi come un responsabile esterno.
Contrariamente a quanto detto con riferimento al responsabile interno del trattamento,
in tutti questi casi la nomina del responsabile esterno è sostanzialmente obbligatoria, nel
senso che, in difetto di tale nomina, non vi sarebbe alcuna base giuridica per
giustificare il trasferimento dei dati dal titolare al fornitore del servizio. La nomina a
responsabile esterno consente, infatti, al titolare di comunicare i dati personali al
fornitore senza dover raccogliere il preventivo consenso alla comunicazione da parte
degli interessati cui i dati si riferiscono.
L'atto di nomina, oltre a dettagliare le istruzioni impartite dal titolare (anche con
riferimento alle misure di sicurezza da implementare), deve prevedere il diritto per il
titolare di effettuare degli audit (verifiche) presso la sede del responsabile esterno, al
fine di poter appurare che i trattamenti siano effettuati nel rispetto della legge e delle
29
istruzioni impartite, così come richiesto dall'art. 29 del Codice.
Per quanto concerne il regime di responsabilità del titolare del trattamento per fatto del
responsabile, secondo la dottrina maggioritaria, che trova conforto nella giurisprudenza
del Garante, il titolare del trattamento può essere chiamato a rispondere del fatto del
responsabile tanto per “culpa in eligendo”, ovvero per non aver scelto un responsabile
che per esperienza e capacità possa assicurare il rispetto della normativa vigente in
materia di privacy, quanto per “culpa in vigilando”, ovvero per non aver vigilato
sull’osservanza da parte del responsabile delle previsioni del Codice.
IL CASO PRATICO
Il Garante riceveva numerose istanze (segnalazioni, reclami e richieste di pareri) in
materia di trattamento dei dati personali degli abbonati ai servizi di telefonia, i quali,
nonostante l'iscrizione dei propri dati anagrafici e dell'utenza della quale erano
intestatari nel Registro pubblico delle opposizioni, ed in assenza di altre condizioni
legittimanti, lamentavano la ricezione di contatti indesiderati per finalità promozionali di
carattere commerciale, ovvero segnalavano la ricezione di comunicazioni a carattere
pubblicitario non richieste, trasmesse via telefax.
Nel corso dell'attività istruttoria avviata dall'Autorità emergeva che in diversi casi le
società che producevano o vendevano beni ed erogavano i servizi oggetto delle
campagne promozionali (di seguito, preponenti), si avvalevano di soggetti terzi (gli
outsourcer) cui, previa sottoscrizione di specifico accordo - generalmente nella forma
del contratto di agenzia di cui agli artt. 1742 ss. del codice civile - veniva conferito
mandato, spesso con rappresentanza, e demandata l'attività di promozione e
commercializzazione dei menzionati beni e servizi. Lo svolgimento di tale attività era
normalmente effettuato su base territoriale; con indicazione, cioè, di una specifica
area geografica di competenza dell'agente. Vi erano ricompresi, tra l'altro, il contatto
con il potenziale cliente, la sottoposizione della proposta commerciale, la raccolta
dell'eventuale adesione, l'utilizzo della modulistica fornita dalla società preponente ed,
infine, la trasmissione dei dati a quest'ultima perché curasse gli adempimenti di propria
competenza. Era accertato, inoltre, che gli agenti erano nella maggior parte dei casi
tenuti a seguire specifiche attività di formazione (attraverso incontri, seminari o apposite
convention) e ricevevano puntuali, aggiornate istruzioni anche con riguardo al
trattamento dei dati personali dei soggetti contattati.
Alcune delle società preponenti risultavano aver opportunamente provveduto a
nominare responsabili del trattamento le agenzie che, operando in outsourcing, si
occupavano, appunto, della promozione e della commercializzazione di prodotti e
servizi per conto della società avviando, a tal fine, mirati contatti commerciali nei
confronti di potenziali clienti; altre, invece avevano affermato che gli agenti in
questione agivano in qualità di titolari autonomi del trattamento dei dati dei potenziali
clienti, ed avevano pertanto rivendicato la propria estraneità rispetto ad eventuali
illeciti (quali, ad esempio, contatti promozionali indesiderati avviati nei confronti di
titolari di utenze telefoniche che avessero curato la propria iscrizione nel Registro
pubblico delle opposizioni, spesso perfino a seguito del reiterato esercizio del diritto di
30
opposizione da parte degli interessati; trasmissione, in assenza del consenso informato
dell'interessato, di messaggi a carattere pubblicitario via telefax etc.).
Le risultanze istruttorie dimostravano, tuttavia, che in tutti i casi oggetto di indagine gli
outsourcer avevano agito in carenza degli imprescindibili presupposti perché potesse
essere loro riconosciuta autonoma titolarità nel trattamento di dati personali, come
risultava alla stregua delle seguenti considerazioni:
- i contatti a carattere promozionale erano effettuati in nome, comunque per
conto e nell'interesse della società preponente; con l'effetto che negli interessati si
ingenerava un legittimo affidamento, dal momento che essi percepivano di
essere destinatari di iniziative pubblicitarie condotte direttamente dalla società
per conto della quale veniva formulata la proposta di vendita di prodotti o servizi;
- i preponenti fornivano agli agenti dettagliate istruzioni sulle finalità del
trattamento, sui mezzi da impiegare per il conseguimento di tali finalità e sui
compiti assegnati, che erano specificamente e rigorosamente definiti;
- gli agenti erano, inoltre, contrattualmente tenuti anche al rispetto della
normativa vigente in materia di privacy;
- il mandato, spesso con rappresentanza, di volta in volta conferito, vincolava
l'agente alla presentazione di offerte ed alla conclusione di contratti in nome,
comunque per conto del preponente utilizzando, peraltro, la modulistica
predisposta da quest'ultimo. Tali modalità erano strettamente connesse ai
concetti giuridici di "procura" e di "delega", con ogni riflesso anche in ordine alla
ripartizione delle responsabilità in materia di trattamento dei dati personali;
- agli agenti venivano fornite, per il tramite di circolari informative ovvero di
incontri, convention, istruzioni etc., anche le specifiche indicazioni operative da
seguire per lo svolgimento dell'attività di marketing, spesso aggiornate con
riferimento alle nuove modalità connesse all'entrata in vigore del Registro
pubblico delle opposizioni;
- a seguito dell'intervento dell'Autorità, con il dichiarato fine di evitare futuri,
indesiderati contatti telefonici o via telefax verso i segnalanti, i preponenti, nella
quasi totalità dei casi, avevano provveduto ad inserire quei nominativi e le
connesse utenze telefoniche all'interno di una propria black list a disposizione delle
strutture anche esterne alle società (gli outsourcer).
Considerato che gli artt. 4, comma 1, lett. f) e 28 del Codice definiscono,
rispettivamente, il titolare come il soggetto "cui competono … le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati" e che
esercita "un potere decisionale del tutto autonomo sulle finalità e sulle modalità del
trattamento, ivi compreso il profilo della sicurezza", il Garante riteneva che le agenzie in
outsourcing non potessero essere considerate quali titolari autonomi, dal momento che
all'asserita titolarità formale non corrispondevano, anche in termini concreti, i poteri
31
tassativamente previsti dal Codice per la configurazione e l'esercizio della titolarità, che
erano e restavano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:
- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di
campagne promozionali ai fini di invio di materiale pubblicitario o di vendita
diretta o di ricerche commerciali o di comunicazione commerciale effettuate da
soggetti terzi che agivano in outsourcing per lo svolgimento delle richiamate
attività di promozione e di commercializzazione di beni, prodotti e servizi;
- impartire istruzioni e direttive vincolanti nei confronti degli outsourcer,
sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve
impartire al responsabile;
- svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi.
D'altro canto, secondo il Garante, se gli agenti avessero rivestito la qualifica di
autonomi titolari, la comunicazione dei dati dei clienti alla società preponente, a
qualunque titolo e per qualunque causa effettuata, ivi compresa quella relativa ai
contratti stipulati, sarebbe risultata lecita soltanto ove fosse stato preventivamente
acquisito il consenso informato dell'interessato (artt. 13 e 23 del Codice) ovvero fosse
sussistito uno dei presupposti di esonero rispetto all'obbligo della sua acquisizione (art.
24 del Codice). In difetto, la trasmissione di quelle informazioni sarebbe stata non
conforme al Codice, con conseguenti applicabilità delle relative sanzioni e
inutilizzabilità dei dati ai sensi dell'art. 11, comma 2.
Al pari viziata sarebbe stata anche la comunicazione, da parte della società agli
outsourcer, dei dati personali dei soggetti che, avendo manifestato la propria
opposizione al trattamento, venivano inseriti nella black list per evitare il reiterarsi
dell'indesiderato contatto commerciale.
Per quanto sopra, il Garante riteneva che gli agenti avessero operato di fatto, e a tutti
gli effetti, come se fossero stati "preposti dal titolare al trattamento di dati personali",
dunque in piena e sostanziale aderenza alla definizione del "responsabile" di cui all'art.
4, comma 1, lett. g) del Codice.
Il Garante chiariva che, nel sistema delineato dal Codice, segnatamente ai sensi del
combinato disposto di cui agli artt. 4, comma 1, lett. g) ed f), 28 e 29, l'esternalizzazione
delle attività promozionali costituisce senz'altro una libera scelta organizzativa ed
imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle
società preponenti; cionondimeno, nelle situazioni verificate dall'Autorità ed in tutte
quelle in cui l'atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti sia
riconducibile alle fattispecie oggetto della decisione del Garante, occorre assicurare la
conformità dei relativi trattamenti, ivi compresi quelli già in essere, alle norme in materia
di protezione di dati personali.
È, in altri termini, sempre rimessa al titolare, quale esercizio di una propria libera facoltà,
la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano
32
comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia come nei casi esaminati - il titolare decida in tal senso, sarà tenuto ad adoperarsi
affinché all'atteggiarsi concreto dei rapporti corrisponda anche la loro corretta
qualificazione giuridica sotto il profilo della protezione dei dati personali.
Ne consegue che in tali situazioni, affinché i connessi trattamenti di dati personali
risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli
outsourcer, i quali - lo si ripete - già concretamente operano, in via di fatto, nella
specifica qualità di responsabili del trattamento secondo la definizione del Codice,
ricevano anche una espressa e formale designazione in tal senso, secondo il disposto
dell'art. 29.
Pertanto, il Garante disponeva che tutti i preponenti, in quanto titolari del trattamento,
procedessero, entro 60 giorni dalla pubblicazione del provvedimento sulla Gazzetta
Ufficiale, a designare le società ovvero i soggetti terzi che agivano in outsourcing, quali
responsabili del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29,
commi 4 e 5 del Codice.
L'Autorità si riservava inoltre, con autonomi procedimenti, la verifica dei presupposti per
contestare ai titolari del trattamento le violazioni amministrative di cui agli artt. 130,
comma 3 bis, 161 e 162, commi 2-bis e 2-quater.
2.4. Gli amministratori di sistema
Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e
la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate
funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano
sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di
vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica
amministrazione.
Per questo il Garante ha deciso (doc. web n. 1577499) di richiamare l'attenzione di enti,
amministrazioni, società private sulla figura professionale dell' amministratore di sistema e
ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la
verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi
informatici (il provvedimento è disponibile al seguente indirizzo.
In particolare, il Garante ha stabilito quanto segue:
a. Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa
valutazione delle caratteristiche di esperienza, capacità e affidabilità del
soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla
sicurezza.
33
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite
solo nel quadro di una designazione quale incaricato del trattamento ai sensi
dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a
criteri di valutazione equipollenti a quelli richiesti per la designazione dei
responsabili ai sensi dell'art. 29, verificando cioè che il soggetto designato, in virtù
della propria esperienza professionale, sia in grado di attuare correttamente tutte
le previsioni del Codice.
b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare
l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di
autorizzazione assegnato.
c. Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con
l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento
interno da mantenere aggiornato e disponibile in caso di accertamenti da parte
del Garante.
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente
servizi o sistemi che trattano o che permettono il trattamento di informazioni di
carattere personale dei lavoratori, i titolari sono tenuti a rendere nota o
conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie
organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione
ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi
dell'informativa resa ai lavoratori al momento dell'assunzione oppure
menzionando i nominativi degli amministratori di sistema nel documento
aziendale sull'uso della posta elettronica ed Internet da parte dei dipendenti. In
alternativa, è possibile comunicare ai lavoratori i nominativi degli amministratori
designati, mediante pubblicazione degli stessi sulla bacheca aziendale o sulla
rete intranet.
d. Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il
responsabile esterno devono conservare direttamente e specificamente, per
ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte
quali amministratori di sistema.
In altri termini, qualora un’azienda decida di affidare la gestione dei sistemi
informatici ad un fornitore esterno, essa, in qualità di titolare del trattamento,
dovrà nominare il fornitore quale proprio responsabile esterno del trattamento;
l'atto di nomina a responsabile dovrà quindi prevedere un obbligo per il fornitore
di procedere alla nomina delle singole persone fisiche che agiranno come
amministratori di sistema per conto dell’azienda titolare e di comunicare gli
34
estremi di tali soggetti all’azienda titolare, la quale potrà così stilare un elenco
interno da esibire al Garante in caso di controlli.
e. Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza
almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o
dei responsabili, in modo da controllare la sua rispondenza alle misure
organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali
previste dalle norme vigenti.
f. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da
parte degli amministratori di sistema. Le registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le
registrazioni devono comprendere i riferimenti temporali e la descrizione
dell'evento che le ha generate e devono essere conservate per un congruo
periodo, non inferiore a sei mesi.
Si badi che il provvedimento del Garante sugli amministratori di sistema non si applica ai
titolari del trattamento che possono beneficiare delle semplificazioni approvate dal
Garante (si veda il precedente paragrafo 1.10).
2.5. La videosorveglianza
Il provvedimento del Garante dell'8 aprile 2010 in materia di videosorveglianza (doc.
web n. 1712680) ha sostituto il precedente provvedimento del 29 aprile 2004, stabilendo
le nuove regole alle quali sono tenute a conformarsi le aziende che decidano di
installare telecamere e sistemi di videosorveglianza.
Ecco in sintesi le regole fissate dal Garante:
• Informativa: i soggetti che transitano nelle aree sorvegliate devono essere informati
con cartelli della presenza delle telecamere, utilizzando il modello di informativa
semplificata allegato al provvedimento del Garante. I cartelli devono essere resi visibili
anche quando il sistema di videosorveglianza è attivo in orario notturno. Nel caso in cui i
sistemi di videosorveglianza installati siano collegati alle forze di polizia è necessario
apporre il diverso cartello allegato al provvedimento del Garante;
• Conservazione: le immagini registrate possono essere conservate per periodo limitato
e fino ad un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in
relazione a indagini. Per attività particolarmente rischiose (es. banche) è ammesso un
tempo più ampio, che non può superare comunque la settimana. Eventuali esigenze di
allungamento dovranno essere sottoposte a verifica preliminare del Garante. Devono
35
essere predisposte misure tecniche od organizzative per la cancellazione, anche in
forma automatica, delle registrazioni, allo scadere del termine previsto;
• Sistemi integrati: per i sistemi che collegano telecamere tra soggetti diversi, sia
pubblici che privati, o che consentono la fornitura di servizi di videosorveglianza "in
remoto" da parte di società specializzate (es. società di vigilanza, Internet providers)
mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche
misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è
comunque necessaria la verifica preliminare del Garante;
• Sistemi intelligenti: per i sistemi di videosorveglianza "intelligenti" dotati di software che
permettono l'associazione di immagini a dati biometrici (es. "riconoscimento facciale") o
in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o
eventi anomali e segnalarli (es. "motion detection") è obbligatoria la verifica preliminare
del Garante;
• Modalità di ripresa: il trattamento deve essere effettuato con modalità tali da limitare
l'angolo visuale all'area effettivamente da proteggere, evitando, per quanto possibile,
la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (vie, edifici,
esercizi commerciali, istituzioni ecc.);
• Misure di sicurezza: i titolari del trattamento devono proteggere i dati raccolti
mediante sistemi di videosorveglianza con idonee e preventive misure di sicurezza,
riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non
autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta,
anche in relazione alla trasmissione delle immagini. I titolari hanno l'obbligo di
implementare misure tecniche ed organizzative che consentano al titolare di verificare
l'attività espletata da parte di chi accede alle immagini o controlla i sistemi di ripresa (se
soggetto distinto dal titolare medesimo, nel caso in cui questo sia persona fisica) nel
rispetto dei principi di seguito indicati:
•
•
•
in presenza di differenti competenze specificatamente attribuite ai singoli
operatori, sussiste l’obbligo di configurare diversi livelli di visibilità e
trattamento delle immagini. Laddove tecnicamente possibile, in base alle
caratteristiche dei sistemi utilizzati, i predetti soggetti, designati incaricati o,
eventualmente, responsabili del trattamento, devono essere in possesso di
credenziali di autenticazione che permettano di effettuare, a seconda dei
compiti attribuiti ad ognuno, unicamente le operazioni di propria
competenza;
laddove i sistemi siano configurati per la registrazione e successiva
conservazione delle immagini rilevate, deve essere altresì attentamente
limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia
con la ripresa, ma anche in tempo differito, le immagini registrate e di
effettuare sulle medesime operazioni di cancellazione o duplicazione;
nel caso di interventi derivanti da esigenze di manutenzione, occorre
adottare specifiche cautele; in particolare, i soggetti preposti alle predette
operazioni possono accedere alle immagini solo se ciò si renda
36
•
•
indispensabile al fine di effettuare eventuali verifiche tecniche ed in
presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla
visione delle immagini;
qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche,
gli apparati medesimi devono essere protetti contro i rischi di accesso
abusivo;
la trasmissione tramite una rete pubblica di comunicazioni di immagini
riprese da apparati di videosorveglianza deve essere effettuata previa
applicazione di tecniche crittografiche che ne garantiscano la
riservatezza; le stesse cautele sono richieste per la trasmissione di immagini
da punti di ripresa dotati di connessioni wireless (tecnologie wi-fi, wi-max,
Gprs).
• Incaricati del trattamento: il titolare o il responsabile del trattamento (ove nominato)
deve designare per iscritto quale incaricati del trattamento tutte le persone fisiche
autorizzate (i) ad accedere ai locali dove sono situate le postazioni di controllo, (ii) ad
utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, (iii) a
visionare le immagini. I titolare o il responsabile del trattamento (ove nominato) deve
individuare i diversi livelli di accesso in corrispondenza delle specifiche mansioni
attribuite ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati
a visionare le immagini dai soggetti che possono effettuare, a determinate condizioni,
ulteriori operazioni (es. registrare, copiare, cancellare, spostare l'angolo visuale,
modificare lo zoom, ecc.).
37
3. I RAPPORTI CON LE DIVERSE CATEGORIE DI INTERESSATI
3.1. Il trattamento dei dati personali dei dipendenti
Le aziende possono trattare i dati personali dei dipendenti, anche senza il consenso
degli stessi, se il trattamento è necessario per eseguire il contratto di lavoro ed
adempiere agli obblighi di legge. Ai dipendenti deve essere in ogni caso fornita
un'informativa privacy contenente gli elementi previsti dall'art. 13 del Codice.
Anche i dati sensibili dei dipendenti possono essere trattati senza consenso, purché (i) il
trattamento sia necessario per adempiere a specifici obblighi o compiti previsti dalla
legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto
di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di
previdenza e assistenza e (ii) il trattamento sia effettuato entro i limiti e con le modalità
previste dall'autorizzazione generale del Garante per il trattamento dei dati sensibili nel
rapporto di lavoro, che è rinnovata annualmente.
Come regola generale, ogni altro trattamento dei dati personali dei dipendenti, che
non sia strettamente necessario per eseguire il contratto di lavoro o adempiere ad
obblighi di legge, può essere effettuato solo con il previo consenso libero e facoltativo
del lavoratore. Ad esempio, secondo il Garante, il consenso del lavoratore è necessario
anche per pubblicare informazioni personali allo stesso riferite (quali fotografia,
informazioni anagrafiche o curricula) nella intranet aziendale (e a maggior ragione in
Internet), non risultando tale ampia circolazione di dati personali di regola "necessaria
per eseguire obblighi derivanti dal contratto di lavoro" (art. 24 del Codice).
Per aiutare i datori di lavoro ad orientarsi nell’applicazione delle previsione del Codice, il
Garante ha pubblicato delle specifiche linee guida (doc. web n. 1364939).
Il Garante ha inoltre approvato delle ulteriori linee guida sull’uso della posta elettronica
ed Internet nel contesto lavorativo (doc. web n. 1387522), chiarendo che i datori di
lavoro hanno l'onere di specificare le modalità di utilizzo della posta elettronica e della
rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli
strumenti messi a disposizione e se, in che misura e con quali modalità vengano
effettuati controlli. Il Garante ha, inoltre, suggerito ai datori di lavoro di redigere un
disciplinare interno sull'uso di Internet e della posta elettronica da parte dei dipendenti,
portandolo a conoscenza degli stessi. L’Autorità ha poi vietato ai datori di lavoro di
effettuare trattamenti di dati personali mediante sistemi hardware e software che
mirano al controllo a distanza di lavoratori, svolti in particolare mediante:
a) la lettura e la registrazione sistematica dei messaggi di posta elettronica
ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per
svolgere il servizio e-mail;
b) la riproduzione e l'eventuale memorizzazione sistematica delle pagine web
visualizzate dal lavoratore;
38
c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo
dispositivo;
d) l'analisi occulta di computer portatili affidati in uso.
Infine, il Garante ha stabilito che i datori di lavoro possono effettuare controlli "indiretti" a
distanza sui lavoratori, anche senza il consenso degli stessi, allorquando ricorrano le
condizioni previste dall’art. 4 dello Statuto dei Lavoratori, ovvero un accordo con le
rappresentanze sindacali (o, in difetto, l'autorizzazione di un organo periferico
dell'amministrazione del lavoro).
3.2. Il trattamento dei dati personali dei clienti
I dati personali di utenti/clienti possono essere trattati, anche senza il preventivo
consenso degli stessi, se il trattamento è necessario (i) per adempiere ad un obbligo
previsto dalla legge, da un regolamento o dalla normativa comunitaria o (ii) per
eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per
adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato.
In ogni caso, il titolare del trattamento deve fornire all’interessato un’informativa privacy
contenente gli elementi prescritti dall’art. 13 del Codice.
Come regola generale, ogni altro trattamento di dati degli utenti/clienti, che non sia
strettamente necessario per le finalità sopra indicate, può essere effettuato solo con il
preventivo consenso libero e facoltativo dell’interessato. Ad esempio, è necessario uno
specifico e separato consenso per il trattamento dei dati personali degli utenti/clienti
per finalità di marketing (si veda il successivo capitolo 4) o per la comunicazione dei
dati a soggetti terzi che agiscono quali autonomi titolari del trattamento (è il caso, ad
esempio, della vendita/cessione di banche dati di clienti).
3.3. Il trattamento dei dati personali dei fornitori
A seguito dell'entrata in vigore della legge 22 dicembre 2011, n. 214, il Codice si applica
unicamente al trattamento di dati personali di persone fisiche e, pertanto, in linea
generale nei rapporti tra aziende e fornitori non occorre più fornire un'informativa
privacy ed adempiere agli altri obblighi di legge.
Può accadere, tuttavia, che un’azienda abbia dei rapporti con imprese individuali,
consulenti o liberi professionisti, che sono giuridicamente da considerarsi quali persone
fisiche (e non persone giuridiche), continuando così a trovare applicazione le
prescrizioni del Codice, ivi incluso l'obbligo di fornire un'informativa privacy alla persona
fisica cui i dati si riferiscono.
39
4. IL MARKETING E LA PROFILAZIONE
4.1. Il marketing
Prima di analizzare le previsioni del Codice che regolano la materia del marketing, è
utile chiarire se ed in che misura tali previsioni siano applicabili anche al trattamento di
dati relativi a persone giuridiche (come, ad esempio, il numero di telefono o l’indirizzo di
posta elettronica di una S.r.l.), enti ed associazioni.
A tal proposito è necessario introdurre le seguenti definizioni utilizzate nel Codice:
(i) “contraente”, ovvero “qualunque persona fisica, persona giuridica, ente o
associazione parte di un contratto con un fornitore di servizi di comunicazione
elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque
destinatario di tali servizi tramite schede prepagate” (si tratta, in sostanza,
dell’intestatario del contratto di servizio con il fornitore di servizi di
telecomunicazioni);
(ii) "utente", ovvero “qualsiasi persona fisica che utilizza un servizio di comunicazione
elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi
necessariamente abbonata” (si tratta, in sostanza, della persona fisica che utilizza
un servizio di telecomunicazioni, senza essere necessariamente il soggetto che ha
stipulato il relativo contratto di servizio).
Lo scorso 20 settembre 2012 il Garante ha emanato un provvedimento (doc. web n.
2094932) allo scopo di fare chiarezza al riguardo, ricostruendo le più recenti modifiche
che hanno interessato il Codice. In tale provvedimento l’Autorità ha ricordato come,
secondo il testo originario dei primi due commi dell’art. 130 del Codice, (i) l’uso di sistemi
automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un
operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento
di ricerche di mercato o di comunicazione commerciale, nonché (ii) l’invio di
comunicazioni elettroniche effettuate per le medesime finalità mediante posta
elettronica, fax, MMS, SSM o altre tecnologie, fosse ammesso solo con il preventivo
consenso dell’”interessato”. A seguito dell’approvazione del Decreto Legge 6 dicembre
2011, n. 6, che ha modificato la definizione di “interessato”, limitandola alle sole persone
fisiche, molte aziende del settore marketing hanno legittimamente ritenuto di poter
inviare comunicazioni commerciali a persone giuridiche senza più dover sottostare alle
limitazioni previste codice. Rimaneva, tuttavia, impregiudicata la possibilità anche per le
persone giuridiche, enti ed associazioni di iscriversi al c.d. registro delle opposizioni (si
veda il successivo paragrafo 4.2) per opporsi alle chiamate promozionali effettuate con
intervento di un operatore (telemarketing), atteso che i commi 3-bis, 3-ter e 3-quater
dell’art. 130 del Codice, relativi appunto al registro delle opposizioni, richiamavano, e
tutt’ora richiamano, i dati di cui all’art. 129, ovvero i dati degli “abbonati” (ora definiti
come “contraenti” nel Codice), definizione questa che include indifferentemente tanto
i dati delle persone fisiche quanto quelli delle persone giuridiche, enti ed associazioni.
Senonché il successivo Decreto Legislativo 28 maggio 2012, n. 69 ha modificato il testo
dei primi due commi dell’art. 130 del Codice, sostituendo la parola “interessato” con
40
quella di “contraente”, estendendo così la tutela contro chiamate senza operatore e
comunicazioni commerciali via email, fax, MMS ed SMS anche alle persone giuridiche,
agli enti ed alle associazioni.
Alla luce di quanto sopra, l’Autorità ha chiarito che, sebbene le persone giuridiche, gli
enti e le associazioni non godano più di molte delle tutele previste dal Codice, ad essi
continuano, invece, ad applicarsi le norme del Codice che regolano i trattamenti a
scopo di marketing. Tuttavia, l’Autorità ha messo in luce le contraddizioni generate dal
legislatore e la scarsa sistematicità delle ultime riforme. Infatti, sebbene le previsioni del
Codice in materia di telemarketing continuino astrattamente ad applicarsi anche alle
persone giuridiche, agli enti ed alle associazioni, questi ultimi non possono più far valere i
propri diritti dinnanzi al Garante, atteso che l’art. 141 del Codice, che regola la
proposizioni di segnalazione, reclami e ricorsi all’Autorità, si applica esclusivamente ad
“interessati” e, dunque, solo a persone fisiche, restando naturalmente impregiudicati i
poteri dell’Autorità di agire d’ufficio e comminare le dovute sanzioni in caso di violazioni.
Un’altra clamorosa “falla” del sistema, come ammesso dalla stessa Autorità, sta nel fatto
che, qualora i dati delle persone giuridiche, enti o associazioni da utilizzarsi per finalità di
marketing non siano tratti dai pubblici elenchi telefonici (non essendo pertanto operanti
le norme sul Registro delle Opposizioni) ma siano reperiti altrove (ad esempio su Internet
o su albi ed elenchi pubblici), le telefonate promozionali con operatore (telemarketing)
e, in prospettiva, anche le comunicazioni pubblicitarie via posta cartacea sarebbero
sempre consentite anche senza il previo consenso libero ed informato di tali persone
giuridiche, enti ed associazioni, essendo le norme generali su informativa e consenso
(ovvero gli artt. 13, 23 e 24) del Codice applicabili ai soli “interessati”, e dunque solo alle
persone fisiche.
Ciò chiarito, veniamo alla disciplina sostanziale del marketing, prendendo in
considerazione sia le previsioni del Codice che la giurisprudenza del Garante.
Come regola generale, per poter trattare dati personali per finalità di marketing, i titolari
devono:
(i) fornire agli interessati un'informativa privacy conforme alle previsioni di legge
ed alle prescrizioni del Garante;
(ii) richiedere uno specifico e facoltativo consenso al trattamento (distinto da altri
eventuali consensi), documentando adeguatamente per iscritto la scelta
dell'interessato.
Se questo è il principio generale, la disciplina del marketing varia, in realtà, in base alle
tecniche di comunicazione utilizzate, alla fonte dalla quale sono ottenuti i dati da
trattare ed alla tipologia di destinatario della comunicazione (persone fisiche, da una
parte, persone giuridiche, enti ed associazioni, dall’altra).
Le imprese che effettuano trattamenti di dati personali per finalità di marketing devono
verificare con attenzione, prima dell’inizio della propria attività, che le previsioni di legge
in materia di privacy siano state correttamente rispettate. La violazione delle previsioni
41
di legge sopra citate, oltre ad esporre al rischio di subire ingenti sanzioni amministrative,
può, infatti, comportare anche l’applicazione di sanzioni penali, essendo astrattamente
possibile che il trattamento dei dati in violazione delle disposizioni del Codice sia
considerato come effettuato “al fine di trarne per sé o per altri profitto o di recare ad
altri un danno” (art. 167 del Codice).
IL CASO PRATICO
Nei confronti dell’amministratore delegato e del responsabile interno del
trattamento di una nota società attiva nel settore della creazione e distribuzione di
contenuti multimediali (la “Società”) si procedeva per il reato di cui all'art. 167,
comma 1, d.lgs. 196/93 perché, in concorso tra loro, con più azioni ed in tempi
diversi, al fine di trame un profitto (rappresentato dagli introiti commerciali e
pubblicitari derivanti dall'uso, su internet, dei dati informatici ivi gestiti) avevano
effettuato un trattamento dei dati personali in violazione degli artt. 23, 129 e 130 del
Codice.
In particolare, per comprendere l'accusa, occorre tener presente che tra Società
ed un’altra società che gestiva un portare online (la “Società Cliente”) era in essere
un contratto di concessione di spazi pubblicitari da parte della Società Cliente nei
confronti della Società. Ciò grazie alla gestione di un sito, creato dalla Società
Cliente, al quale era abbinato un servizio di newsletter, che conteneva un
database di 457.058 iscrizioni.
Secondo la contestazione formulata dal PM, la Società, dopo aver proceduto ad
una risoluzione unilaterale del contratto con la Società Cliente, aveva effettuato un
trattamento dei dati personali degli iscritti alla newsletter della Società Cliente,
senza il consenso della Società Cliente e senza informare gli iscritti della cessazione
della lista, continuando, anzi, a recapitare a questi ultimi (quantomeno, nella
accertata percentuale del 39% di essi) altre newsletter non richieste tra le quali, in
particolare una newsletter che pubblicizzava i servizi della Società.
Inoltre, alla Società veniva contestato di aver inviato tale newsletter anche ad altri
soggetti che non l'avevano richiesta né si erano iscritti ad alcuno dei servizi della
Società.
Il Tribunale condannava in primo grado l’amministratore delegato ed il
responsabile interno del trattamento a nove mesi di carcere per il reato di
trattamento illecito di dati personali.
La Corte d’Appello confermava la decisione impugnata.
Avverso tale decisione, gli imputati proponeva ricorso per Cassazione, deducendo,
tra gli altri motivi, che tutte le persone sentite come testimoni in udienza ed
individuate dall'accusa come destinatane delle e-mail indesiderate della Società
avessero affermato in modo inconfutabile di non avere patito alcun fastidio da tale
42
ricezione indesiderata né alcun danno patrimoniale apprezzabile. Si contestava
quindi l’equazione proposta dall'accusa secondo la quale anche l'invio di una sola
mail non autorizzata avrebbe configurato il reato ipotizzato.
La Corte di Cassazione riteneva invece che il nocumento che consegue all'illecito
trattamento di dati personali sia di vario genere “non solo economico, ma anche
più immediatamente personale, quale ad esempio, la perdita di tempo nel
vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii”.
Secondo la Cassazione, inoltre, non vi è - e non vi deve essere - alcun bisogno di
identificare compiutamente ed interrogare decine (se non centinaia) di migliaia di
utenti internautici, i dati personali dei quali siano stati utilizzati in violazione della
normativa, perché, in fattispecie di tal fatta, per il numero delle persone e le
caratteristiche non certo estemporanee dell'attività di marketing - il vulnus è di tale
entità da potersi quasi definire in re ipsa. Per la Cassazione è, infatti, innegabile che
l'utilizzo in rete, da parte della Società dei dati personali di almeno 177.090 persone
ha rappresentato una indubbia e massiccia invasione della libertà personale sotto il
profilo del diritto alla riservatezza di un più che significativo numero di persone (con
potenziale rischio di ampliamento visto che il database sottratto dalla Società
conteneva più di 400.000 nominativi), un indubbio fastidio, per la necessità di
cancellare la posta indesiderata ed anche la messa in pericolo della privacy,
attesa la circolazione non autorizzata di dati personali (diversamente "catturagli"
per scopi illeciti). Nel caso di specie, sostenevano i giudici, il nocumento per gli
interessati si é verificato in più modi ed in più direzioni. Ha toccato i destinatari che
hanno dovuto subire l'invio della newsletter, aggravato, nei caso di coloro che a
tale invio hanno deciso di reagire con la richiesta di cancellazione. Precisava poi la
Cassazione che il nocumento, nel caso di specie, si era realizzato, sia, direttamente
nei confronti dei soggetti i cui dati personali erano stati illecitamente utilizzati per
scopi pubblicitari dalla Società, sia nei confronti della Società Cliente, giustamente
definita "incolpevole partner del trattamento dei dati personali", che ha
sicuramente tratto anche un danno alla propria immagine e che ha dovuto
fronteggiare le proteste degli iscritti alla propria newsletter, i quali avevano
autorizzato solo la Società Cliente al trattamento dei propri dati personali ma si
erano, invece, visti raggiungere da newsletter pubblicitarie della Società.
La Cassazione respingeva pertanto il ricorso, confermava la sentenza d’appello e
condannava i ricorrenti al pagamento delle spese processuali oltre alle spese
sostenute nel grado dalla parte civile, liquidate in complessivi 3000 Euro oltre
accessori di legge.
È importante evidenziare che gli interessati che hanno prestato il proprio consenso al
trattamento per finalità di marketing hanno il diritto di cambiare idea in qualsiasi
momento e di opporsi ai successivi trattamenti, dandone semplice comunicazione al
titolare (c.d. opt-out). Così stabilisce, infatti, l'art. 7, co. 4, let. b) del Codice, ai sensi del
quale "l'interessato ha il diritto di opporsi, in tutto o in parte, […] al trattamento di dati
personali che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o
per il compimento di ricerche di mercato o di comunicazione commerciale". Il titolare
del trattamento deve predisporre idonee misure organizzative per porre a disposizione
43
degli interessati semplici modalità per esercitare i propri diritti (artt. 7 e 10 del Codice) e,
nel caso in cui gli interessati si oppongano legittimamente al trattamento dei propri dati,
il titolare deve registrare subito per iscritto l’opposizione così manifestata ed adottare
idonee procedure affinché tale volontà sia rispettata.
4.2. Il telemarketing
La disciplina del telemarketing cambia in base all’origine dei dati trattati dal titolare ed
alle modalità di effettuazione delle chiamate.
Le chiamate effettuate tramite “sistemi automatizzati di chiamata o di comunicazione
di chiamata senza l'intervento di un operatore” (ad es. le chiamate con messaggi
preregistrati) per finalità di marketing si possono effettuare solo con il previo consenso
libero ed informato del contraente/utente (dunque indifferentemente persona fisica o
persona giuridica), a prescindere dalla fonte dalla quale siano stati ottenuti i numeri che
si intende contattare e dalla tipologia di destinatario della chiamata (art. 130, co. 1 del
Codice). È evidente la ratio sottesa a questa norma: il legislatore ha ritenuto che tali
chiamate promozionali siano particolarmente invasive, sia perché i sistemi automatizzati
di chiamata consentono di realizzare contatti di massa sia perché i destinatari delle
chiamate possono più difficilmente far valere i propri diritti in assenza di un interlocutore.
In questo caso la regola del consenso preventivo non trova, pertanto, alcuna
eccezione.
Le chiamate con intervento di un operatore verso numeri di telefono fissi o mobili estratti
dagli elenchi telefonici pubblici (appartenenti a persone fisiche, persone giuridiche, enti
o associazioni), possono essere, invece, effettuate solo previa consultazione del
“Registro delle Opposizioni” di cui agli art. 130, commi 3-bis, 3-ter e 3-quater del Codice.
Il Registro delle Opposizioni è una c.d. “Robinson List”, ovvero una lista contenete i
nominativi di quegli abbonati a servizi di telefonia fissa o mobile, i cui nominativi sono
pubblicati negli elenchi telefonici pubblici, che non desiderano ricevere chiamate
promozionali. Le aziende che intendono contattare numeri estratti dagli elenchi
telefonici pubblici per finalità di telemarketing devono previamente iscriversi come
operatori presso il Registro delle Opposizioni, che è gestito dalla Fondazione Ugo Bordoni
(www.fub.it). In termini pratici, l’azienda dovrà comunicare la lista dei numeri estratti
dagli elenchi pubblici che si intendono contattare; il gestore del Registro, mettendo a
confronto le informazioni contenute nel Registro delle Opposizioni e la lista dei numeri
forniti dall’azienda, cancellerà da quest’ultima tutti i numeri degli abbonati che hanno
richiesto di non essere contattati, consegnando all’azienda una lista “pulita” degli utenti
effettivamente contattabili, anche senza il preventivo consenso informato degli stessi. La
lista così formata ha valore per un periodo massimo di 15 giorni, trascorsi i quali
bisognerà nuovamente consultare il Registro prima di poter contattare i nominativi in
essa contenuti (per ulteriori informazioni sul servizio e sulle tariffe applicate si prega di
consultare il sito internet: http://operatori.registrodelleopposizioni.it/operatori/homeoperatori).
È importante evidenziare che le aziende possono ugualmente contattare il numero
telefonico di un utente iscritto al Registro delle Opposizioni se sono in grado di provare di
44
aver ottenuto quel numero non già estraendolo dagli elenchi telefonici pubblici ma da
altre fonti, avendo ottenuto il consenso libero ed informato dell’interessato. Ed infatti, le
chiamate con intervento di un operatore (ad es. le chiamate effettuate da call center),
se effettuate verso numeri di telefono fissi o mobili ottenuti da fonti diverse dagli elenchi
telefonici pubblici, possono essere effettuate ove il titolare abbia ottenuto il previo
consenso informato, libero e facoltativo dell’interessato (artt. 13, 23 e 24 del Codice). Se
poi, come si è detto al precedente paragrafo 4.1, i dati appartengano a persone
giuridiche, enti ed associazioni e siano stati ottenuti da fonti di verse dagli elenchi
pubblici, le telefonate promozionali con operatore possono essere effettuate anche in
assenza del preventivo consenso informato, non essendo gli artt.13, 23 e 24 applicabili
alle persone giuridiche.
Alla luce di quanto sopra, si consideri, ad esempio, il caso di un utente “A” (persona
fisica) che, registratosi al sito Internet dell’azienda “B”, acconsenta liberamente al
trattamento dei propri dati personali per ricevere offerte commerciali tramite telefono, e
che, successivamente, si iscriva al Registro delle Opposizioni perché stanco di ricevere
telefonate promozionali. In tal caso l’utente “A” non potrà essere contattato da imprese
che estraggano il suo numero dagli elenchi telefonici pubblici, ma potrà continuare ad
essere contatto, fino all’eventuale revoca del consenso, dall’azienda “B”, avendo
questa estratto il numero di telefono di “A” da fonte diversa dagli elenchi telefonici
pubblici ed avendo ottenuto il preventivo e facoltativo consenso di “A” al trattamento
dei dati per finalità di telemarketing.
Consideriamo, infine, l’ipotesi di chiamate promozionali effettuate verso numeri
telefonici reperti non già dagli elenchi telefonici ma da altri pubblici registri, elenchi, atti
o documenti conoscibili da chiunque. L’art. 24, co. 1, let. c) del Codice stabilisce che i
dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque
possono essere trattati anche senza il consenso degli interessati “fermi restando i limiti e
le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la
conoscibilità e pubblicità dei dati”. Fatto salvo in caso limite di un pubblico registro,
elenco o atto la cui legge istitutiva consenta espressamente l’utilizzo dei dati per
effettuare chiamate promozionali, in linea generale non è pertanto possibile trattare per
finalità di telemarketing i dati personali provenienti da pubblici registri (es. albi
professionali), elenchi, atti o documenti conoscibili da chiunque (es. documenti reperiti
su Internet) senza il preventivo consenso libero ed informato dei soggetti interessati.
Il Garante ha, tuttavia, chiarito che l’art. 24, co.1, let. c) del Codice deve essere
interpretato nel senso che il trattamento è consentito solo ove:
(i) la specifica disciplina di riferimento abbia espressamente previsto l'attività di
telemarketing; oppure
(ii) “tali comunicazioni risultino direttamente funzionali all'attività svolta
dall'interessato, che è posta alla base dell'inserimento del dato telefonico nei
pubblici registri, elenchi, atti o documenti conoscibili da chiunque di cui all'art. 24
del Codice, e sempreché non vi sia stata o sia manifestata opposizione al
trattamento” (doc. web n. 1784528). In altri termini, sarebbe ad esempio possibile
45
trattare per finalità di telemarketing i dati personali di un professionista inscritto ad
un albo professionale, purché le comunicazioni commerciali siano strettamente
attinenti all’attività professionale dell’interessato.
La norma deve essere interpretata ed applicata restrittivamente. Il Garante ha, infatti,
precisato che “il vincolo di finalità con la professione esercitata dall'interessato […] deve
essere interpretato in termini rigorosi nel senso che tale vincolo implica la stretta
attinenza del trattamento per finalità di marketing all'esercizio di tale specifica
professione, come potrebbe ad esempio ritenersi l'invio di pubblicazioni scientifiche per
finalità di aggiornamento ed approfondimento di tematiche giuridiche”. In applicazione
di tale principio, il Garante ha, ad esempio, ritenuto illecita la telefonata promozionale
effettuata da una compagnia telefonica ad un avvocato il cui numero di telefono era
stato estratto dall’albo nazionale degli avvocati. L’Autorità ha ritenuto che “pur in
presenza dei possibili vantaggi economici che l'offerta di servizi di telefonia business può
offrire al professionista, il trattamento dei dati personali per finalità promozionali non può
ritenersi "direttamente funzionale" all'esercizio della specifica attività forense svolta
dall'interessato e giustificare l'esonero dall'acquisizione del consenso, limitandosi, tale
offerta, ad offrire soluzioni astrattamente idonee a soddisfare le esigenze di
un'indifferenziata tipologia di soggetti” (doc. web n. 1851415). Secondo il Garante
“l'offerta dei servizi di telefonia rivolta al segnalante avrebbe dovuto essere ritagliata,
per opzioni, modalità e costi sulle specifiche caratteristiche ed esigenze della categoria
degli avvocati”.
4.3. Il marketing via email, fax, SMS o MMS
Il marketing via email, fax, SMS, MMS o altre forme di messaggistica può essere
effettuato solo con il previo consenso libero ed informato del contraente o utente (art.
130, co. 2 del Codice). Dunque la regola si applica indipendentemente dal fatto che il
destinatario della comunicazione sia una persone fisica, una persona giuridica, un ente
o un’associazione.
Si badi che non è possibile contattare un interessato per sollecitarlo a prestare il proprio
consenso al successivo invio di comunicazioni promozionali. Infatti, la regola del
consenso “non può essere elusa inviando una prima e-mail che, nel richiedere il
consenso, abbia già un contenuto promozionale o pubblicitario”( doc. web n. 1489843);
Per quanto riguarda il marketing via email, il Codice prevede una specifica eccezione
alla regola generale del preventivo consenso. Infatti, ai sensi dell'art. 130, co. 4 del
Codice "se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o
servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della
vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato,
sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato,
adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive
comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni
comunicazione effettuata per le finalità di cui al presente comma, è informato della
possibilità di opporsi in ogni momento al trattamento, in maniera agevole e
gratuitamente". Questa norma consente di poter inviare email pubblicitarie aventi ad
46
oggetto prodotti o servizi analoghi a prodotti o servizi già venduti all'interessato (dunque
i destinatari possono essere solo clienti o ex clienti), anche senza aver ottenuto un
preventivo consenso libero ed informato. Le aziende possono, dunque, inviare email
pubblicitarie a soggetti con cui hanno già avuto rapporti commerciali, a condizione
che:
a) tale attività promozionale riguardi beni e servizi del medesimo titolare e
analoghi a quelli oggetto della vendita;
b) l'interessato, al momento della raccolta dei dati e in occasione dell'invio di
ogni comunicazione effettuata per le menzionate finalità, sia stato informato
della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e
gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del
telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale
trattamento (art. 7, comma 4);
c) l'interessato medesimo, così adeguatamente informato già prima
dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in
occasione di successive comunicazioni.
Essendo i soci di IAB tipicamente attivi nel settore dell’email marketing, prendiamo ora in
considerazione i risultati dell’attività sanzionatoria dell’Autorità nell’anno 2011 ed
analizziamo un caso pratico particolarmente interessante.
Nel corso del 2011 il Garante ha fatto controlli su quattordici società operanti nei settori
del direct email marketing e del mobile marketing. Dai riscontri effettuati è emerso che
cinque di queste società non rispettavano il Codice, non avendo ottenuto ad esempio
un valido consenso all’invio di sms promozionali, o non avendo fornito un’idonea
informativa agli utenti registrati nei loro database. Nei confronti delle società sono stati
adottati provvedimenti di divieto del trattamento illecito dei dati e, in alcuni casi, sono
state date prescrizioni per adeguare il trattamento alle norme in materia di protezione
dei dati personali. Alle quattro società che operavano senza consenso degli utenti, il
Garante ha contestato anche sanzioni pecuniarie per un totale di circa 300.000 euro. In
alcuni casi le società si avvalevano di server collocati negli Stati Uniti, trasferendo così i
dati personali al di fuori dell’Unione Europea in assenza di validi presupposti di legge.
IL CASO PRATICO
Il Garante sottoponeva ad ispezione la ditta individuale INVIODEM di Tizio (di
seguito "INVIODEM").
Nel corso dell'accertamento ispettivo, il sig. Tizio dichiarava che:
• INVIODEM era un'impresa individuale nata nel 2001, la cui principale attività
consisteva nella gestione dei siti Internet INVIODEM.org e SITOCONCORSI.it: il primo,
a fronte della ricezione di messaggi promozionali, consentiva agli iscritti di ricevere
47
crediti telefonici sulle proprie utenze mobili; il secondo consentiva agli iscritti di
partecipare a concorsi a premi;
• mediante i predetti siti, INVIODEM registrava, in due database distinti (DB
INVIODEM e DB SITOCONCORSI) i dati personali degli iscritti, tra i quali: numero di
cellulare, operatore telefonico, email, data di nascita, comune, provincia, sesso e,
a fronte delle prestazioni offerte, gli interessati erano tenuti a rilasciare il consenso
per il trattamento dei predetti dati per finalità di marketing e propaganda
elettorale;
• con i dati raccolti, INVIODEM effettuava campagne promozionali per conto di
terzi-committenti, quali aziende ed esercizi commerciali, offerte tramite il sito
SMSPUSH.IT;
• le campagne di marketing di INVIODEM erano veicolate attraverso sette società
intermediarie;
• all'inizio del 2010, costituiva una società di diritto olandese avente sede ad
Amsterdam, denominata OLANDADEM, la quale gestiva i servizi cd. "bulk sms e
email" e non svolgeva alcun trattamento di dati personali, incaricandosi di fatturare
le prestazioni rese da INVIODEM sulla base di uno specifico accordo;
• la titolarità dei dati personali utilizzati per le attività promozionali rimaneva in capo
a INVIODEM, in quanto OLANDADEM svolgeva solo un'attività di intermediazione
(dalla Olanda) nei confronti di società italiane (committenti) per servizi offerti da
un'altra impresa italiana (INVIODEM);
• tutta l'attività di INVIODEM veniva svolta personalmente dallo stesso sig. Tizio senza
necessità di uffici o strutture commerciali;
• i server che ospitavano i dati di cui INVIODEM è titolare si trovavano in una città
italiana, presso la società SERVERITALIA.
Poiché da successive verifiche dell'ufficio emergeva che SERVERITALIA non aveva
alcuna sede nella città indicata, il sig. Tizio rettificava tale dichiarazione
rappresentando che i dati erano presenti nelle server farm di FARMITALIA, ubicate
in Italia (a Torino e a Milano) e in Svizzera (a Zurigo e a Ginevra).
In sostanza, INVIODEM dichiarava che, per quanto riguarda le attività di marketing
effettuate mediante l'invio di sms (cd. "sms advertising") ed email (cd. DEM, direct
email marketing) trattava i dati personali, acquisiti tramite i predetti siti, per inviare
comunicazioni promozionali per conto dei propri clienti. Questi ultimi, nella
maggioranza dei casi, non erano i reali committenti della campagna, ma società
che svolgono attività di intermediazione tra il committente (che si rivolgeva a loro
per realizzare la campagna promozionale) e il fornitore di dati (INVIODEM).
Da quando è stata costituita la società OLANDADEM, il sig. Tizio richiedeva ai propri
48
clienti di rivolgersi a quest'ultima società per la realizzazione delle campagne,
affinché quest'ultima veicolasse la richiesta pervenuta a INVIODEM, che, quindi,
risultava essere fornitore di OLANDADEM.
Per quanto riguarda invece l'attività di "bulk sms e email" INVIODEM, tramite il
proprio sito SITOBULK.it, metteva a disposizione di chi detiene una propria banca
dati a cui intende inviare messaggi promozionali, una piattaforma informatica
online, attraverso la quale coloro che si registrano al sito, possono effettuare invii
massivi di messaggi promozionali.
Nel corso delle verifiche emergeva che dalla piattaforma web a sua disposizione il
sig. Tizio accede anche ad un ulteriore database, denominato "MOLTINUMERI". Il
titolare dichiarava che tale database, che conteneva circa 180.000 numeri di
utenze telefoniche mobili, era stato costituito a seguito di accordi con la società
francese FRENCHDATA.
Dalle risultanze istruttorie emergeva che tali accordi, conclusi nel 2008 e nel 2009,
prevedevano ciascuno la creazione di 1.000.000 di anagrafiche da realizzarsi
mediante l'organizzazione, da parte di FRENCHDATA, di un concorso a premi online
finalizzato alla raccolta di numeri di telefoni cellulari. INVIODEM e altre ventuno
aziende (non solo italiane) si incaricavano, in qualità di "sponsor", della promozione
di tale concorso. Le iscrizioni al concorso generavano un record che veniva
automaticamente registrato nei database delle ventidue aziende. Gli accordi,
hanno determinato, per ciascun anno la creazione di 1.000.000 di record per un
totale di 2.000.000 di record.
Sulla base delle dichiarazioni rese dal sig. Tizio, di questi 2.000.000 circa la metà
erano stati eliminati dal database "MOLTINUMERI" a seguito di richiesta di
cancellazione da parte degli interessati pervenuta a INVIODEM successivamente
all'invio di un cd. "messaggio di benvenuto”. Con riferimento ai dati acquisiti tramite
FRENCHDATA, il sig. Tizio dichiarava che il testo dell'informativa fornita all'atto del
concorso era stato predisposto dalla società francese e ha successivamente fornito
tale documento da cui si evinceva che la titolarità era in capo a quest'ultima.
Dalle risultanze ispettive emergeva che i dati presenti nel database "MOLTINUMERI"
erano stati utilizzati da INVIODEM, nel corso del primo semestre del 2009, per
realizzare una campagna per conto di una società televisiva italiana denominata
“TVITALIA”, tramite la concessionaria CAIOAGENCY) che prevedeva l'invio di
680.000 sms promozionali. A seguito di tale campagna i record presenti nel
database "MOLTINUMERI" erano ulteriormente diminuiti a causa delle richieste di
cancellazione pervenute e, al momento dell'accertamento ispettivo, erano
180.699.
Riguardo al trattamento dei dati provenienti dai concorsi di FRENCHDATA, non
risultava che INVIODEM avesse mai fornito, al momento della loro registrazione nel
proprio database "MOLTINUMERI", alcuna informativa agli interessati ai sensi dell'art.
13, comma 4 del Codice e, a tal proposito, non poteva essere sufficiente né
49
l'informativa resa dalla società francese (in quanto non indicava le ventidue
società a cui i dati sarebbero stati comunicati) né l'asserito invio di un messaggio di
benvenuto da parte di INVIODEM, avvenuto, in ogni caso, mediante l'invio di una
prima email.
Inoltre non risultava che INVIODEM, trattando i dati registrati nel database
"MOLTINUMERI" in qualità di titolare del trattamento, avesse acquisito uno specifico
consenso per l'invio di comunicazioni promozionali ai sensi dell'art. 130 del Codice,
sia per inviare una prima email "di benvenuto" sia per l'inoltro dei successivi sms
promozionali, come invece risultava essere avvenuto nel caso della campagna
realizzata per conto di TVITALIA nel primo semestre del 2009.
Dalle dichiarazioni rese e dalla documentazione acquisita, risultava che l'attività
principale di INVIODEM consisteva nel trattamento di dati personali per la
realizzazione di campagne di sms advertising e di email marketing per conto di terzi
sulla base di specifici target (ad es. età, provincia, sesso) da questi ultimi di volta in
volta indicati.
L'attività di mobile marketing e DEM si svolgeva, come detto, utilizzando i dati
raccolti tramite i siti web INVIODEM.org e SITOCONCORSI.it e veniva offerta
mediante il sito SMSPUSH.IT. Dall'accertamento ispettivo risultava che i database
relativi a tali siti erano logicamente separati e, all'epoca dell'ispezione,
contenevano rispettivamente 61.053 (DB INVIODEM) e 37.979 (DB SITOCONCORSI)
anagrafiche.
La gestione delle campagne pubblicitarie veniva curata esclusivamente e
personalmente dal sig. Tizio, il quale riceveva gli ordini da sette società
intermediarie (che a loro volta li ricevono dai propri clienti-committenti) e
selezionava i target a cui inviare la promozione. Allo stesso modo, tutte le
operazioni di cancellazione che pervenivano a INVIODEM, riferite ai dati presenti
nel DB INVIODEM, nonché i relativi riscontri alle richieste degli interessati, venivano
effettuate direttamente dal sig. Tizio. Solo le cancellazioni relative al DB
SITOCONCORSI potevano essere effettuate in modalità automatica dall'interessato.
Con riferimento ai dati acquisiti tramite il sito SITOCONCORSI.it, il sig. Tizio dichiarava
che tali dati permanevano nel relativo database per tutta la durata del concorso a
premi. Al termine del concorso veniva inviata un'email ad ogni iscritto con la quale
si comunicava, fra l'altro, che i dati dell'interessato sarebbero stati utilizzati per il
successivo concorso, salvo richiesta di cancellazione.
Il sig. Tizio dichiarava inoltre che INVIODEM, per la realizzazione di campagne
pubblicitarie, si avvaleva anche di dati personali in possesso di altre due aziende,
titolari del trattamento: tale circostanza si realizzava quando INVIODEM,
calcolando i dati presenti nei suoi database, non raggiungeva comunque il
quantitativo di cellulari richiesto dal proprio cliente per una specifica campagna.
Infatti, da un'interrogazione effettuata alla data dell'accertamento ispettivo
mediante il sito SMSPUSH.IT risultava che vi era la disponibilità di 1.364.636 numeri di
50
telefoni cellulari e 542.749 indirizzi email, numeri molto superiori rispetto a quelli
contenuti nei database a disposizione di INVIODEM.
In sostanza, quindi, emergeva che anche INVIODEM (oltre a fornire direttamente i
numeri di cellulare di cui disponeva) avrebbe svolto in alcune occasioni, la funzione
di "intermediario" tra il soggetto che si rivolgeva a INVIODEM per la realizzazione di
campagne promozionali (che, come detto, nella maggioranza dei casi era a sua
volta un intermediario) e altri "fornitori" che detenevano i numeri di cellulari. Le due
società a cui INVIODEM si sarebbe rivolta in qualità di "intermediario" erano la citata
FRENCHDATA (con dati, a detta del sig. Tizio, diversi da quelli generati dai due
concorsi citati) e AZIENDAPINCO (impresa individuale che gestisce il sito ECCOSMS).
In tali casi INVIODEM non avrebbe avuto la disponibilità dei dati, ma avrebbe
richiesto di volta in volta alle predette aziende l'invio dei messaggi senza effettuare
alcun trattamento, aggiungendosi, di fatto, alla schiera degli intermediari che
componevano
la
filiera
del
mobile
marketing.
Tuttavia, per l'aspetto appena descritto, dalle risultanze istruttorie non era emerso
alcun riscontro documentale in ordine alle dichiarazioni rese riguardanti la
collaborazione di INVIODEM con FRENCHDATA e AZIENDAPINCO.
Per quanto riguarda le concrete modalità di effettuazione delle campagne
promozionali, il sig. Tizio dichiarava che INVIODEM, per l'invio di sms, acquistava
pacchetti di messaggi a basso prezzo da alcune aziende. In particolare, emergeva
che, per quanto riguarda l'invio di sms cd. di "alta qualità" (cioè messaggi con
personalizzazione del mittente ed eventuale rapporto di consegna) INVIODEM si
avvaleva della società indiana INDIADATA.
Per gli sms cd. di "bassa qualità" (con mittente non personalizzabile e senza
rapporto di consegna) INVIODEM acquistava i pacchetti di messaggi dalla società
PACCHETTISMS, con sede in Italia.
L'invio degli sms avveniva nella pratica mediante trasmissione di un file ai citati
operatori contenente il testo del messaggio, il mittente e i numeri di cellulari dei
destinatari. Dalle risultanze dell'accertamento ispettivo emergeva che i soggetti a
cui erano inviati i predetti file non erano stati designati quali responsabili del
trattamento.
Sotto il profilo della raccolta dati, va osservato che l'informativa resa da INVIODEM
all'interno dei propri siti non risultava idonea, in quanto mancante di alcuni elementi
relativi alle modalità di trattamento (in particolare il trasferimento dei dati all'estero,
che avveniva allorquando INVIODEM trasmetteva il file contenente i numeri di
cellulari cui inviare una campagna promozionale a INDIADATA, in India) e
all'ambito di comunicazione dei dati.
Per quanto riguarda i limiti temporali di utilizzo dei dati, il Garante rilevava che i dati
personali conferiti dall'utente per partecipare ad un concorso a premi venivano
trattati da INVIODEM anche oltre la scadenza del concorso stesso, a meno che
51
l'utente non avesse formulato un diniego espresso. INVIODEM, pertanto, procedeva
al trattamento di dati (raccolti con la specifica finalità di partecipazione ad un
concorso anche dopo la conclusione del concorso stesso) in assenza di uno
specifico consenso e senza che tale ulteriore trattamento fosse stato evidenziato
nell'informativa.
Per quanto riguarda le modalità di invio dei messaggi, in nessun caso risultava che
INVIODEM avesse designato i suoi partner (INDIADATA e PACCHETTISMS) quali
responsabili del trattamento.
Inoltre, l’Autorità rilevava che l'invio dei messaggi tramite getaway stranieri
(INDIADATA, in India) determinava un trattamento illecito di dati personali,
consistente nel trasferimento dei dati all'estero, in assenza di una idonea
informativa e al di fuori delle ipotesi di cui agli artt. 43 o 44 del Codice e
determinando quindi un trattamento vietato ai sensi dell'art. 45 del Codice.
L'Autorità si riservava di verificare la liceità e correttezza delle dichiarazioni rese in
ordine alla collaborazione di INVIODEM con AZIENDAPINCO e alla liceità e
correttezza dei relativi trattamenti.
Il sig. Tizio dichiarava che la propria impresa svolgeva anche attività di bulk sms
ovvero di invio massivo di messaggi sms per conto di propri clienti che potevano
utilizzare una piattaforma messa a disposizione da INVIODEM.
Dall'istruttoria effettuata a seguito dell'accertamento ispettivo, risultava che tale
attività si realizzava concretamente quando il cliente si registrava al sito SITOBULK.it
e acquistava un servizio per inviare pacchetti di sms ai numeri dei cellulari di cui
disponeva in quanto titolare. A tal proposito risulta che, all'atto della registrazione,
INVIODEM richiedeva, a coloro che intendono registrarsi al predetto sito, l'indirizzo
email e il numero di cellulare, senza rilasciare alcuna informativa.
La piattaforma offerta da INVIODEM consentiva la comunicazione fra i sistemi di
quest'ultima e quelli dell'operatore (da cui, come detto, INVIODEM acquistava
pacchetti di sms cioè INDIADATA o PACCHETTISMS, a seconda che si trattasse di
"alta" o "bassa" qualità) che inviava il messaggio: il cliente di INVIODEM inseriva i
numeri dei cellulari dei destinatari, unitamente al testo promozionale, nella
piattaforma di INVIODEM, che automaticamente trasmetteva tale lista ai gateway
degli operatori telefonici, per la concreta trasmissione dei messaggi. INVIODEM
deteneva un archivio dei messaggi inviati, comprendente l'indicazione del cliente,
l'elenco dei numeri dei destinatari e il testo inviato, che cancellava con cadenza
annuale.
Per tale attività INVIODEM, pur trattando dati personali (ricevendo mediante la
propria piattaforma i numeri di cellulare inseriti dai propri clienti) non risultava essere
stata designata quale responsabile del trattamento da parte dei propri clienti.
Il Garante rilevava inoltre che, nel momento in cui archiviava e conserva i dati
52
relativi ai propri clienti e all'elenco dei numeri dei destinatari, INVIODEM effettuava
in piena autonomia delle operazioni di trattamento, che per questa parte, la
qualificavano quale titolare. Oltre a ciò il Garante rilevava che INVIODEM a sua
volta trasmetteva i numeri dei destinatari, presenti nei rispettivi file, a un ulteriore
soggetto per l'effettivo inoltro, senza alcun consenso e senza che vi fosse alcuna
qualificazione di quest'ultimo nell'ambito del trattamento.
Dalle dichiarazioni rese risultava che per l'attività di "bulk sms" INVIODEM
conservava nei propri sistemi anche l'indirizzo IP del cliente (che accedeva alla
piattaforma per inserire l'elenco dei numeri di cellulari e il testo promozionale).
Quest'ultimo poteva procedere autonomamente alla cancellazione del proprio
archivio di messaggi inviati presente nella piattaforma, comprendente sia il numero
dei destinatari sia il testo del messaggio, ma non poteva rimuovere il dato
dell'indirizzo IP di accesso alla piattaforma medesima. A cadenza annuale il sistema
provvedeva alla cancellazione totale degli archivi, compresi gli indirizzi IP
memorizzati.
Per quel che concerne la raccolta dei dati di coloro che si iscrivono al sito per
poter usufruire della piattaforma d'invio, non risulta che INVIODEM rilasci agli
interessati alcuna informativa.
Per quanto riguarda il servizio "bulk sms", il Garante rilevava che INVIODEM non era
stata designata quale responsabile del trattamento da parte dei soggetti che
utilizzano la sua piattaforma per l'invio dei messaggi, pur trattando i dati personali
da questi inseriti.
Inoltre, il Garante rilevava che l'utilizzo di gateway stranieri, in particolare posizionati
al di fuori dell'Unione Europea (come nel caso della società indiana INDIADATA)
determinava un trasferimento di dati all'estero, al di fuori delle ipotesi consentite
dagli artt. 43 o 44 del Codice, determinando un trattamento illecito ai sensi dell'art.
45 del Codice.
Inoltre, per quanto attiene i dati presenti nei file inseriti dai propri clienti (contenenti,
come detto, il nome del cliente, i numeri dei destinatari e il testo del messaggio
promozionale), secondo il Garante INVIODEM agiva in qualità di titolare,
archiviandoli e conservandoli, senza fornire agli interessati un'idonea informativa.
Per quanto sopra, il Garante rilevava la necessità di adottare nei confronti di
INVIODEM un provvedimento di divieto per aver trattato i dati personali:
• provenienti da FRENCHDATA senza aver fornito agli interessati un'idonea
informativa ai sensi dell'art. 13 comma 4, del Codice e senza aver acquisito uno
specifico consenso per l'invio di comunicazioni promozionali automatizzate ai sensi
dell'art. 130, come risulta avvenuto nella campagna promozionale realizzata per
conto di TVITALIA;
• di coloro che si sono iscritti ai siti INVIODEM.org e SITOCONCORSI.it senza aver
53
rilasciato agli interessati una idonea informativa ai sensi dell'art. 13 del Codice,
comprensiva dell'indicazione del trasferimento dei dati all'estero, e senza aver
acquisito un consenso specifico per ciascuna finalità realizzata;
• trasferiti all'estero al proprio partner commerciale, la società indiana INDIADATA,
in assenza di uno dei presupposti previsti dagli artt. 43 o 44 del Codice e
realizzando, quindi, un trattamento vietato ai sensi dell'art. 45 del Codice;
• conservando e archiviando nei propri sistemi i numeri di cellulare che i clienti di
INVIODEM inseriscono per le attività di "bulk sms", senza aver rilasciato un'idonea
informativa e aver richiesto uno specifico consenso agli interessati;
• dei propri clienti che, iscrivendosi al sito SITOBULK.it, usufruiscono del servizio "bulk
sms", senza aver rilasciato agli stessi una idonea informativa.
L'Autorità si riservava poi di verificare, con autonomo procedimento, la sussistenza
dei presupposti per applicare le dovute sanzioni amministrative.
4.4. Il marketing via posta cartacea
Il marketing via posta cartacea segue regole simili a quelle del telemarketing.
Se, infatti, gli indirizzi postali sono estratti dagli elenchi telefonici pubblici, il titolare del
trattamento, ai sensi di quanto disposto dal comma 3-bis dell’art. 130 del Codice (come
recentemente modificato dal Decreto Legge 13 maggio 2011, n. 70, convertito con
Legge 12 luglio 2011, n. 106), deve previamente consultare il Registro delle Opposizioni,
così come previsto per il telemarketing. Vi è, tuttavia, da considerare che, alla data di
pubblicazione della presente guida, il Registro delle Opposizioni non è stato ancora
adeguato alla nuova disciplina sul marketing postale, non essendo così possibile per gli
operatori del settore beneficiare di questa opportunità.
Qualora, invece, gli indirizzi postali siano ottenuti da fonti diverse dagli elenchi telefonici
pubblici, valgono le regole generali su informativa e consenso (artt. 13 e 23 del Codice),
per cui si potranno inviare comunicazioni commerciali agli interessati via posta cartacea
solo avendo ottenuto il previo consenso libero ed informato degli stessi.
Occorre, inoltre, considerare che, con provvedimento del 19 giugno 2008 (doc. web n.
1526724) il Garante ha previsto che, in applicazione del principio del bilanciamento
degli interessi (art. 24, comma 1, let. g) del Codice), i titolari del trattamento in ambito
privato, che hanno venduto un prodotto o prestato un servizio, possono utilizzare senza il
consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta
cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario
o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di
comunicazione commerciale. Ciò a condizione che:
a) tale attività promozionale riguardi beni e servizi del medesimo titolare e
analoghi a quelli oggetto della vendita;
54
b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni
comunicazione effettuata per le menzionate finalità, sia informato della
possibilità di opporsi in ogni momento al trattamento, in maniera agevole e
gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del
telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale
trattamento (art. 7, comma 4 del Codice);
c) l'interessato medesimo, così adeguatamente informato già prima
dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in
occasione di successive comunicazioni.
4.5. Il Codice del Consumo ed il Decreto e-Commerce
La disciplina del Codice deve essere coordinata sia con le disposizioni del Codice del
Consumo (Decreto Legislativo 6 settembre 2005, n. 206) sia con quelle del c.d. Decreto
e-Commerce (Decreto Legislativo 9 aprile 2003, n. 70), che concorrono a formare
un’unica, seppur non sempre coerente ed integrata, disciplina della materia.
Iniziamo dalle norme del Codice del Consumo. Secondo l’art. 58, comma 1 del Codice
del Consumo, rubricato “Limiti all’impiego di talune tecniche di comunicazione a
distanza”:
“1. L’impiego da parte di un professionista del telefono, della posta elettronica, di
sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax
richiede il consenso preventivo del consumatore, fatta salva la disciplina prevista
dall’articolo 130, comma 3-bis, del codice in materia di protezione dei dati
personali, di cui al decreto legislativo 30 giugno 2003, n. 196, per i trattamenti dei
dati inclusi negli elenchi di abbonati a disposizione del pubblico.
2. Tecniche di comunicazione a distanza diverse da quelle di cui al comma 1,
qualora consentano una comunicazione individuale, possono essere impiegate
dal professionista se il consumatore non si dichiara esplicitamente contrario”.
La norma deve essere lettera congiuntamente all’art. 19-bis del Decreto Legge 30
dicembre 2005, n. 273, ai sensi del quale:
“L’articolo 58, comma 2, del codice del consumo di cui al decreto legislativo 6
settembre 2005, n. 206, si applica anche in deroga alle norme di cui al decreto
legislativo 30 giugno 2003, n. 196”
Occorre, anzitutto, evidenziare che l’art. 58 del Codice del Consumo trova applicazione
esclusivamente nei rapporti tra un “professionista” ed un “consumatore”1.
1
Ai sensi dell’art. 3, co. 1 del Codice del Consumo, “consumatore” è “la persona fisica che agisce per scopi
estranei all'attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta” mentre
“professionista” è “la persona fisica o giuridica che agisce nell'esercizio della propria attività
imprenditoriale, commerciale, artigianale o professionale, ovvero un suo intermediario”.
55
Ciò chiarito, proviamo ora a capire come l’art. 58 del Codice del Consumo debba
essere coordinato con l’art. 130, comma 2 del Codice. Le due disposizioni sembrano,
invero, sostanzialmente coincidere (fermo restando che l’art. 130 si applica più
estensivamente anche nei rapporti tra “professionisti”), stabilendo entrambe la
necessità di ottenere il previo consenso del destinatario della comunicazione (opt-in)
nei casi in cui quest’ultimo sia contattato tramite telefono, posta elettronica, fax o
sistemi di chiamata automatizzati senza l’intervento di un operatore. Peraltro l’art. 58 del
Codice del Consumo fa espressamente salva la norma del Codice che regolano il
Registro delle Opposizioni, chiarendo così che se i dati di contatto sono estratti dagli
elenchi telefonici pubblici occorre applicare il diverso regime dell’opt-out.
Apparentemente, dunque, la disciplina del Codice del Consumo non pone particolari
problemi di coordinamento con quella del Codice. In realtà sussistono alcuni dubbi
interpretativi. Consideriamo i principali:
(i) È necessario raccogliere due consensi separati (uno ex art. 58 del Codice del
Consumo e l’altro ex art. 130 del Codice)?
Non vi è certezza giuridica al riguardo. Il fatto che siano previste sanzioni differenti
in caso di violazioni (la violazione dell’art. 130 del Codice della Privacy è punita ai
sensi dell’art. 162, co. 2-bis del Codice con una sanzione da diecimila euro a
centoventimila euro; la violazione dell’art. 58 del Codice del Consumo è punita ai
sensi dell’art. 62 del Codice del Consumo con una sanzione da tremila a
diciottomila euro), sembra portare alla conclusione che i consensi debbano
essere distinti. Tuttavia, a parere di chi scrive si tratterebbe di un’inutile
duplicazione di adempimenti formali, atteso che la ratio delle due norme sembra
essere identica. La posizione del Garante sul punto è ambigua. Nella gran parte
dei provvedimenti sanzionatori emanati dal Garante viene applicata
esclusivamente la sanzione per violazione dell’art. 130 del Codice della Privacy;
tuttavia, in un provvedimento del 29 aprile 2009 (doc.web. 1629938) il Garante, in
un caso in cui un’azienda aveva inviato comunicazioni pubblicitarie indesiderate
via fax senza il preventivo consenso dell’interessato, ha applicato la sanzione
prevista dall’art. 62 del Codice del Consumo (e non anche quella prevista
dall’art. 162 del Codice). Non sembrano, in ogni caso, esservi provvedimenti del
Garante in cui le due sanzioni siano state applicate congiuntamente o in cui sia
stato espressamente stabilito l’obbligo di raccogliere due diversi consensi. Lo
prassi consolidata del settore è comunque quella di raccogliere un solo consenso
preventivo.
(ii) In considerazione di quanto previsto dall’art. 19-bis del Decreto Legge 30
dicembre 2005, n. 273, si può completamente disapplicare il Codice della Privacy
qualora si utilizzino tecniche a distanza diverse da quelle di cui al comma 1
dell’art. 58 del Codice del Consumo?
Come si è visto l’art. 19-bis del Decreto Legge 30 dicembre 2005, n. 273 prevede
che l’articolo 58, comma 2 del Codice del Consumo debba applicarsi anche in
56
deroga alle norme del Codice della Privacy. Ciò non vuol dire, tuttavia, che il
Codice della Privacy possa essere interamente disapplicato. Infatti, come chiarito
dal Garante in un provvedimento del gennaio 2011 (doc. web. 1878901), “con
l'art. 19-bis del decreto legge del 30 dicembre 2005 n. 273 è stato previsto che
l'esonero dal consenso preventivo del consumatore esplicasse effetti anche ai fini
del consenso richiesto dalla disciplina sulla protezione dei dati personali, fermo
restando, tuttavia, il rispetto degli altri adempimenti a tutela dei diritti
dell'interessato, tra i quali quello relativo all'informativa”.
Veniamo ora alle norme del Decreto e-Commerce.
L’art. 8 del decreto, che è richiamato anche dall’art. 130 del Codice della Privacy,
stabilisce che le comunicazioni commerciali che costituiscono un servizio della società
dell’informazione (in pratica qualsiasi comunicazione promozionale inviata tramite
strumenti elettronici) devono contenere una specifica informativa diretta ad
evidenziare:
a) che si tratta di comunicazione commerciale;
b) la persona fisica o giuridica per conto della quale è effettuata la comunicazione
commerciale;
c) che si tratta di un'offerta promozionale come sconti, premi, o omaggi e le relative
condizioni di accesso;
d) che si tratta di concorsi o giochi promozionali, se consentiti, e le relative
condizioni di partecipazione.
Il successivo art. 9, che riguarda le comunicazioni commerciali non sollecitate, stabilisce
che “le comunicazioni commerciali non sollecitate trasmesse da un prestatore per
posta elettronica devono, in modo chiaro e inequivocabile, essere identificate come
tali fin dal momento in cui il destinatario le riceve e contenere l'indicazione che il
destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni 8 e
21 del decreto legislativo 9 aprile 2003, n. 70”. La norma si applica solo ai casi residuali in
cui è possibile, ai sensi del Codice della Privacy, inviare messaggi di posta elettronica
senza il consenso preventivo dell’interessato (si veda il precedente paragrafo 4.3).
La violazione delle disposizioni sopra citate è sanzionata dall’art. 21 del Decreto eCommerce con una sanzione amministrativa da centotre a diecimila euro. In casi di
particolare gravità il limite minimo e massimo possono essere raddoppiati.
Le disposizioni del Decreto e-Commerce sono, infine, richiamate anche dal comma 5
dell’art. 130 del Codice della Privacy, ai sensi del quale “è vietato in ogni caso l'invio di
comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale,
effettuato camuffando o celando l'identità del mittente o in violazione dell'articolo 8 del
decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale
l'interessato possa esercitare i diritti di cui all'articolo 7, oppure esortando i destinatari a
57
visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003.”.
4.6. La profilazione
La c.d. “profilazione” consiste nell'utilizzo di informazioni relative ad un determinato
soggetto al fine di ricostruirne una sorta di "ritratto" quanto alle determinazioni del
soggetto stesso in ambiti specifici, che possono riguardare le abitudini commerciali, i
gusti, gli interessi, la propensione al consumo ed ogni altro elemento idoneo a
ricostruirne la personalità complessivamente intesa.
L'elaborazione di profili è una tecnica che trova la sua principale applicazione nel
settore del marketing, poiché il ricorso ai profili di consumatore-tipo nell'elaborazione
delle strategie di marketing consente di orientare i consumi, adattando un certo tipo di
prodotto ad una determinata categoria di consumatori, o di indurre nuovi consumi,
tramite la creazione e commercializzazione di nuovi prodotti funzionali al
soddisfacimento di bisogni indotti o emergenti.
Il ricorso alle tecniche di profilazione, specialmente se combinato all'utilizzo delle
moderne tecnologie informatiche, solleva numerosi problemi di natura sociale e
giuridica. Infatti, la possibilità di effettuare in maniera automatizzata, veloce e capillare il
trattamento ed il raffronto di numerosi dati personali afferenti a vaste popolazioni di
interessati potrebbe consentire una vera e propria schedatura di massa. La
classificazione di un individuo in una determinato categoria (c.d. cluster) potrebbe
potenzialmente avere riflessi nella sfera politica (es. condizionando la propaganda
politica e l'offerta di idee sul mercato politico) o comportare pericolose discriminazioni
individuali fondate sulle stime e previsioni dei futuri comportamenti della persona
profilata o, ancora, distorcere i meccanismi di mercato, condizionando la domanda sul
marcato, o la neutralità dei media.
In virtù di tali considerazioni il tema della profilazione è stato oggetto di attenzione sia
da parte del legislatore sia da parte del Garante, il quale ha meglio precisato l'ambito
di legittimità di tali trattamenti in numerosi provvedimenti
4.6.1 Il consenso
Il trattamento di dati personali a scopo di profilazione può essere effettuato soltanto
previo consenso espresso e specifico dell'interessato, che il titolare dovrà documentare
per iscritto.
Il consenso al trattamento a scopo di profilazione dovrà essere specifico e distinto dal
consenso espresso dall'interessato per qualsiasi altra finalità. In particolare, esso dovrà
essere distinto dal consenso relativo ad altre finalità di trattamento (es. marketing o
comunicazione dei dati ad altri titolari del trattamento).
Il Garante per la protezione dei dati personali ha, infatti, in più occasioni chiarito che per
procedere al trattamento di dati personali per finalità di profilazione è necessario
58
acquisire un consenso separato da parte dell’interessato rispetto al consenso acquisito
per le finalità di marketing/vendita diretta.
Nel provvedimento a carattere generale del 24 febbraio 2005 ('Fidelity card' e garanzie
per i consumatori. Le regole del Garante per i programmi di fidelizzazione – doc. web n.
1103045), che costituisce uno dei principali punti di riferimento in materia di profilazione,
il Garante ha stabilito che "possono essere raccolti ed utilizzati i dati pertinenti e non
eccedenti per l'invio di materiale pubblicitario - anche attraverso riviste di settore- o di
comunicazioni commerciali o per la vendita diretta. Si tratta, di regola, dei soli dati
direttamente correlati all'identificazione dell'intestatario della carta o di suoi familiari,
ovvero di persone da esso indicate. L'eventuale utilizzazione di dati personali derivanti
dalla profilazione deve essere oggetto di un consenso differenziato dei diretti
interessati.". Ancora, nel medesimo provvedimento si afferma che "ogni altra finalità
[ndr: rispetto alla mera esecuzione degli obblighi di contrattuali] di trattamento
(profilazione e ricerche di mercato da un lato; marketing dall'altro) che comporti
l'identificabilità degli interessati necessita, invece, del loro consenso specifico, informato
e distinto per ciascuna di esse (art. 23 del Codice)".
Per quanto il provvedimento sopra citato si riferisca almeno formalmente alle c.d.
"fidelity card" (utilizzate dalla grande distribuzione per fidelizzare la clientela attraverso
raccolte punti ed agevolazioni sugli acquisti), esso contiene dei principi generali in tema
di marketing/profilazione che il Garante ha più volte richiamato anche in provvedimenti
aventi ad oggetto fattispecie diverse.
Valutando il trattamento ai fini di marketing e profilazione dei dati personali della
clientela di un albergo (doc. web n. 1252220), il Garante ha precisato che "gli interessati
debbono essere messi in grado di esprimere (consapevolmente e) liberamente le
proprie scelte in ordine al trattamento dei dati che li riguardano (Provv. 28 maggio 1997,
in Boll. n. 1, p. 17, doc. web n. 40425), manifestando il proprio consenso (per dir così,
"modulare") per ciascuna distinta finalità perseguita dal titolare (cfr. Provv. 24 febbraio
2005, punto 7). Tale capacità di autodeterminazione non è assicurata quando si
raccoglie il consenso in modo indifferenziato per perseguire distinte finalità quali sono la
definizione dei profili della clientela e l'invio alla medesima di comunicazioni
commerciali (marketing), ben potendo essere ciascuna di esse perseguita
singolarmente in presenza di un'autonoma valutazione e determinazione
dell'interessato.".
Profilazione e marketing costituiscono in effetti finalità di trattamento autonome e
distinte, disciplinate diversamente anche sul piano normativo. Tale è pacificamente
l'impostazione del Garante, il quale ha sostenuto che esse "vanno considerate tra loro
distinte, come già rilevato da questa Autorità nel provvedimento generale sull'uso delle
c.d. carte di fidelizzazione (Provv. 24 febbraio 2005, in http://www.garanteprivacy.it,
doc. web n. 1103045), e come risulta anche dal differenziato statuto normativo ad esse
riservato. Mentre la definizione di profili individuali relativi alle preferenze e alle scelte di
consumo è regolata in alcune disposizioni del Codice (artt. 14, 22, comma 10 e 37,
comma 1, lett. d)), i trattamenti di dati personali effettuati a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
59
comunicazione commerciale trovano diversa disciplina (artt. 7, comma 4, lett. b) e 130
del Codice)." .
Occorre inoltre bene evidenziare che, poiché il consenso degli interessati deve essere
oltre che specifico ed espresso anche libero, il titolare del trattamento non può
subordinare la sottoscrizione o l'esecuzione di un contratto all'espressione del consenso
per finalità di profilazione. Il Garante ha avvalorato tale interpretazione in numerosi
provvedimenti (inter alia, provv. 19 dicembre 2008, doc. web n. 1584213; provv. 22
febbraio 2007, doc. web n. 1388590; provv. 10 maggio 2006, doc. web n. 1298709;
provv. 3 novembre 2005, doc. web n. 1195215; provv. 12 ottobre 2005, doc. web n.
1179604), affermando che "non può definirsi "libero", e risulta indebitamente necessitato,
il consenso ad un ulteriore trattamento dei dati personali che l'interessato "debba"
prestare (aderendo a un testo predisposto unilateralmente dalla controparte) quale
condizione per conseguire una prestazione richiesta".
Nel già menzionato provvedimento "Fidelity Card" si afferma, allo stesso modo, che
"l'eventuale accettazione per iscritto delle clausole del regolamento di servizio deve
essere distinta dalle formule utilizzate per ciascuna di queste due manifestazioni di libero
consenso [n.d.r. marketing, da un lato, e profilazione, dall'altro]. L'adesione all'iniziativa
di fidelizzazione non può essere condizionata alla manifestazione di tale consenso. Non
è quindi lecito raccogliere un consenso generale ricorrendo ad una generica
dichiarazione, comprendendo anche i casi in cui il consenso non è necessario o a
prescindere dalle finalità perseguite.".
La necessità di rappresentare l'intenzione di profilare i dati deve essere manifestata con
chiarezza ed inequivocabilità. In un provvedimento del 3 febbraio 2005 (doc. web n.
1109503), il Garante ha stabilito che "se si pone in essere un'eventuale monitoraggio o
profilazione, o si intende cedere dati personali a terzi specificamente individuati, queste
circostanze e le relative finalità devono essere indicate puntualmente e con evidenza
sia all'atto della costituzione del rapporto, sia prima di evadere le singole richieste di
servizio o sollecitare le risposte degli utenti. Deve risultare chiara la circostanza che per
questi scopi (come pure per la partecipazione a sondaggi che devono avere fini
chiaramente determinati e legittimi), il conferimento dei dati e il consenso sono liberi e
facoltativi rispetto all'ordinaria prestazione dei servizi, e non possono ottenersi sulla base
di pressioni o condizionamenti".
4.6.2 L'informativa
Il titolare del trattamento è tenuto a fornire agli interessati un'informativa privacy
conforme alle previsioni di legge (art. 13 del Codice) ed alle prescrizioni del Garante.
4.6.3 Le modalità del trattamento
Ai sensi dell'art. 3 del Codice, che formalizza il c.d. principio di necessità, "i sistemi
informativi e i programmi informatici" devono essere "configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il
trattamento quando le finalità perseguite nei singoli casi possono essere realizzate
60
mediante, rispettivamente, dati anonimi od opportune modalità che permettano di
identificare l'interessato solo in caso di necessità.". In applicazione del principio di
necessità, il Garante ha stabilito che "il trattamento di dati personali relativi a clienti non
è lecito se le finalità del trattamento, in particolare di profilazione, possono essere
perseguite con dati anonimi o solo indirettamente identificativi" (provv. "Fidelity Card",
par. 2). In altri termini, il titolare del trattamento deve ricorrere al trattamento di dati
personali relativi a persone direttamente identificabili solo nella misura in cui non siano
allo scopo utilmente utilizzabili dati anonimi o solo indirettamente identificativi (ad
esempio, attribuendo agli interessati un codice numerico). Se la finalità di profilazione
può essere perseguita con tali modalità "specie per quanto riguarda la profilazione
della clientela per categorie omogenee, non è lecito utilizzare - e tanto meno
conservare - dati personali o identificativi".
In applicazione del principio di proporzionalità, il Garante ha invece affermato che "tutti
i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non
eccedenti rispetto alle finalità perseguite" e che pertanto "l'utilizzazione di dati sensibili
non è di regola ammessa per alcuna delle finalità indicate [n.d.r. marketing e
profilazione], fatta salva l'ipotesi eccezionale nella quale il trattamento di dati sia
realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato
autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. Ciò, vale
anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie". Il
principio di proporzionalità deve essere osservato anche nella fase di registrazione delle
informazioni in banche dati, specialmente se centralizzate, essendo fatto divieto ai
titolari di trattamento di interconnettere o raffrontare la banche dati contenenti i dati di
profilazione con altre banche dati contenenti dati raccolti per altre e diverse finalità.
In un altro recente provvedimento, avente ad oggetto proprio i trattamenti a scopo di
profilazione effettuati da fornitori di servizi di comunicazione elettronica (Prescrizioni ai
fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono
attività di profilazione - 25 giugno 2009, in G.U. n. 159 dell'11 luglio 2009), con riferimento
ai principi di necessità e proporzionalità, il Garante ha inoltre sostenuto che "l'attività di
profilazione dovrebbe essere svolta utilizzando solo dati strettamente necessari al
perseguimento della finalità e, in ogni caso, trattando solo dati per i quali, sulla base di
quanto disposto dagli artt. 13 e 23 del Codice, il titolare abbia rilasciato una idonea
informativa e sia in grado di documentare un consenso libero e specifico
dell'interessato.". Il titolare del trattamento, dunque, non sarebbe legittimato a trattare
dati personali che non risultano necessari al perseguimento della finalità di profilazione e
dovrebbe in ogni caso indicare chiaramente all'interno dell'informativa quali dati
debbano essere necessariamente comunicati in relazione a ciascuna finalità.
4.6.4 Le misure di sicurezza
Fermo restando che i titolari del trattamento devono implementare le misure di sicurezza
generalmente prescritte dal Codice indipendentemente dagli specifici trattamenti
effettuati, per quanto concerne più specificamente i trattamenti effettuati a fine di
profilazione il Garante - nel provvedimento "Fidelity Card" - ha prescritto i seguenti
ulteriori adempimenti per i titolari del trattamento:
61
a) "i dati eventualmente trattati a fini di profilazione o di ricerche di mercato devono
essere conservati con adeguate modalità che portino a limitare l'ambito di
circolazione dei dati allo stretto indispensabile, circoscrivendo qualitativamente e
quantitativamente il numero di addetti aventi eventuale accesso alle
informazioni;
b) sia escluso l'uso di sistemi e programmi che permettano, fuori dei casi consentiti,
una ricostruzione organica di scelte, comportamenti e profili di interessati
identificabili non soggetta alle previe valutazioni di questa Autorità ai sensi
dell'art. 17 del Codice;
c) non si eludano, attraverso la preposizione di soggetti esterni quali responsabili del
trattamento, le richiamate garanzie in tema di comunicazione e conservazione
dei dati e di trasparenza nell'informativa riguardo alle finalità e ai soggetti che le
perseguono;
d) si pongano a disposizione degli interessati, anche nell'informativa, specifici
recapiti, anche di posta elettronica, per un agevole esercizio dei diritti.".
4.6.5 La notificazione
Ai sensi dell'art. 37 del Codice,
"1. Il titolare notifica al Garante il trattamento di dati personali cui intende
procedere, solo se il trattamento riguarda:
[…]
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero
a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei
trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti."
[…]
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti
accessibile a chiunque e determina le modalità per la sua consultazione gratuita
per via telematica, anche mediante convenzioni con soggetti pubblici o presso il
proprio Ufficio."
Prima di effettuare qualsiasi trattamento per fini di profilazione è dunque necessario
notificare il trattamento al Garante.
Ciò vale anche per gli editori/ad network che utilizzano cookies o altre tecniche
informatiche per veicolare pubblicità comportamentale o comunque profilare gli utenti.
In un parere del marzo 2004 (Provvedimento relativo ai casi da sottrarre all'obbligo di
notificazione), il Garante ha, infatti, sottratto all’obbligo di notificazione solo i “i
trattamenti di dati personali: [..] c) relativi all’utilizzo di marcatori elettronici o di dispositivi
analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso
l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di
identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di
62
agevolare l’accesso ai contenuti di un sito Internet”. Ogni diverso utilizzo di cookies o
altre tecniche informatiche di tracciamento deve invece essere previamente notificato
al Garante.
IL CASO PRATICO
Il Garante riceveva una segnalazione secondo la quale una nota società attiva nel
settore della vendita di servizi turistici online avrebbe inviato talune e-mail indesiderate
di natura commerciale al soggetto segnalante.
Il Garante inviava alla società una richiesta di informazioni, assegnando alla stessa un
termina massimo entro il quale rispondere.
Verificata la mancata risposta da parte della società nel termine indicato, il Garante
chiedeva l’intervento del Nucleo speciale privacy della Guardia di finanza, che, su
specifica delega dell’Autorità, svolgeva i dovuti accertamenti. La Guardia di finanza
accertava che la società, in violazione dell'art. 130 del Codice, aveva trattato i dati
personali del segnalante per finalità promozionali nonostante lo stesso, dopo essersi
registrato sul sito Internet della società, si fosse opposto al trattamento dei propri dati
personali revocando il consenso a suo tempo reso.
Il Garante accertava inoltre che nel form di registrazione al sito della società, non
veniva richiesto un espresso consenso, distinto rispetto a quello necessario per finalità di
marketing, all'impiego dei dati personali degli utenti per la finalità di profilazione posta
in essere dalla società, come, tra l'altro, emergeva dalla stessa informativa presente nel
predetto sito Internet, in violazione di quanto previsto dall'art. 23 del Codice;
Pertanto, il Garante contestava alla due distinte violazioni amministrative previste
rispettivamente dall'art. 164 e dall'art. 162, comma 2-bis del Codice, in relazione agli
artt. 157 e 23, informandola della facoltà di effettuare, per entrambe le violazioni, il
pagamento in misura ridotta ai sensi dell'art. 16 della legge n. 689/1981.
La società sceglieva di non effettuare il pagamento in misura ridotto e di presentare
degli scritti difensivi.
Il Garante rigettava le difese della società, rilevando (i) che la società aveva inviato
all’interessato alcune e-mail indesiderate successivamente alla data nella quale
l'interessato aveva revocato il consenso al trattamento dei propri dati, ciò
determinando l'inosservanza di quanto previsto dall'art.130 del Codice e (ii) che la
sanzione era stata comminata anche per la violazione dell'art. 23 del Codice per aver
effettuato un trattamento di dati personali per la finalità di profilazione senza lo
specifico consenso degli interessati.
Il Garante comminava, pertanto, una sanzione di euro 20.000 per la mancata risposta
alla propria richiesta di chiarimento ed una sanzione di euro 60.000 per il trattamento
dei dati personali per scopi di marketing e profilazione senza il consenso
63
dell’interessato.
Inoltre, in considerazione dell'art. 164-bis, comma 4, del Codice, che prevede che le
sanzioni amministrative di cui al Titolo III, Capo I, del Codice possono essere aumentate
fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni
economiche del contravventore, ed in considerazione dell’utile realizzato dalla società
nell’anno 2010, il Garante aumentava la sanzione sino ad euro 160.000.
IL CASO PRATICO
Un’associazione di consumatori inviava una segnalazione al Garante, lamentando che
una nota società attiva nel settore dell’intermediazione immobiliare online, nel form di
registrazione al suo sito Internet, richiedesse indistintamente per vari trattamenti di dati
personali un unico consenso, peraltro configurato come preimpostato.
La società, al riguardo, si limitava ad affermare che il consenso degli interessati dal
trattamento dei dati personali che vogliano accedere al sito "è liberamente prestato e
con riferimento specifico all'attività del sito, posto che senza il consenso l'Utente non
avrebbe la possibilità di riessere contattato e quindi di ricevere informazioni
sull'immobile di riferimento".
Dall'accertamento condotto dal Garante, risultava che la società in oggetto, nel form
di registrazione al sito, non richiedeva il consenso espresso e distinto per le finalità di
profilazione dei clienti, di invio di comunicazioni promozionali, di comunicazione e di
cessione di dati a terzi, poste in essere dalla medesima come emergeva
dall'informativa del detto sito ("Il trattamento dei dati…sarà finalizzato a: … b)
raccogliere dati ed informazioni in via generale e particolare sugli orientamenti e le
preferenze dell'Utente; inviare informazioni ed offerte commerciali, anche di terzi;
inviare materiale pubblicitario e informativo; effettuare comunicazioni commerciali,
anche interattive;…elaborare studi e ricerche statistiche su vendite, clienti e altre
informazioni, ed eventualmente comunicare le stesse a terze parti; cedere a terzi,
anche al di fuori del territorio dell'Unione Europea, i dati raccolti ed elaborati a fini
commerciali anche per la vendita o tentata vendita, ovvero per tutte quelle finalità a
carattere commerciale e/o statistico lecite...").
Il Garante, peraltro, rilevava che l'unico consenso richiesto indistintamente dalla
società per il trattamento dei dati personali era preimpostato.
L'art. 23 del Codice prevede invece che il trattamento di dati personali da parte dei
privati è ammesso solo previa acquisizione di un consenso dell'interessato libero,
informato e specifico, con riferimento a un trattamento chiaramente individuato, e da
documentare per iscritto; analogamente, l'art. 130, comma 2, del Codice prevede per
l'invio di e-mail promozionali il preventivo consenso informato e specifico
dell'interessato.
64
Inoltre, come già rilevato dall’Autorità (provv. 22 febbraio 2007, doc. web n. 1388590;
provv. 12 ottobre 2005, doc. web n. 1179604; provv. 3 novembre 2005 , doc. web n.
1195215; provv. 10 maggio 2006 , doc. web n. 1298709 in www.garanteprivacy.it), non
può definirsi "libero", e risulta indebitamente necessitato, il consenso ad un ulteriore
trattamento dei dati personali che l'interessato "debba" prestare quale condizione per
conseguire una prestazione richiesta; e che gli interessati devono essere messi in grado
di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento
dei dati che li riguardano, manifestando il proprio consenso - allorché richiesto per
legge - per ciascuna distinta finalità perseguita dal titolare (cfr. provv. 24 febbraio 2005,
punto 7, in www.garanteprivacy.it, doc. web n. 1103045).
Tale capacità di autodeterminazione non è assicurata quando si assoggetta l'accesso
a un servizio alla preventiva autorizzazione a trattare i dati conferiti per il medesimo
servizio per una finalità diversa, qual è quella promozionale e pubblicitaria, o quella di
profilazione; con la conseguenza che i dati personali raccolti dal titolare (e conferiti
dall'interessato) per l'esecuzione del rapporto contrattuale vengono di fatto piegati ad
un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, in violazione del
principio di finalità (art. 11, comma 1, lett. b), del Codice);
Il Garante rilevava inoltre che nel testo dell'informativa ex art. 13 del Codice,
pubblicato sul sito della Società, non venivano specificati in modo chiaro e preciso i
soggetti o le categorie di soggetti cui tali dati vengono comunicati e/o ceduti.
Infatti, in caso di comunicazione e/o cessione di dati personali a terzi, non solo deve
essere richiesto uno specifico e libero consenso all'interessato, ma è anche necessario
che questi, mediante idonea informativa, sia reso edotto almeno della categoria di
soggetti cui sono trasmessi i suoi dati personali, e che, in mancanza di tale indicazione,
l'informativa resa deve considerarsi inidonea, come già affermato dall’Autorità in
diverse occasioni (provv. 26 giugno 2008, doc. web n. 1544326; provv. 25 giugno 2009,
doc. web n. 1629107).
Per quanto sopra, il Garante concludeva che le attività di trattamento dei dati, come
sopra individuate, effettuate dalla società senza il prescritto consenso costituissero
quindi un trattamento illecito di dati.
Il Garante adottava quindi nei confronti della società un provvedimento di divieto del
trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154,
comma 1, let. d) del Codice correlato alle attività di profilazione dei clienti, di invio di
comunicazioni promozionali, di comunicazione e di cessione di dati personali a terzi
senza l'acquisizione del necessario consenso preventivo e specifico degli utenti del sito.
Il Garante si riserva inoltre, con autonomo procedimento, la verifica dei presupposti per
contestare al predetto titolare del trattamento le eventuali violazioni amministrative di
competenza dell’Autorità.
4.7. I tempi di conservazione dei dati
65
Il Codice non prescrive tempi massimi di conservazione dei dati personali ma afferma
solo un principio generale, in base al quale "i dati personali dei quali non è necessaria la
conservazione in relazione agli scopi per i quali sono trattati devono essere cancellati o
trasformati in forma anonima" (art. 11, comma 1, lett. e) del Codice).
In altri termini, raggiunto l'obiettivo per cui il trattamento dei dati è stato effettuato, il
titolare del trattamento non avrebbe alcun motivo di conservare ulteriormente i dati
trattati e dunque dovrebbe procedere alla loro cancellazione o alla loro trasformazione
in forma anonima.
Nel provvedimento "Fidelity Card" il Garante ha sostenuto che "i dati relativi al dettaglio
degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità
di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e
a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma
anonima che non permetta, anche indirettamente o collegando altre banche di dati,
di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre tali termini potranno
essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del Codice.".
L'obbligo di conservazione limitato ai dodici mesi dalla data di registrazione è in verità
riferito dal Garante ai soli "dati relativi al dettaglio degli acquisti" e non sembra dunque
potersi dedurre che tale limite sussista con riferimento anche ad altre tipologie di dati.
In un procedimento del 2005, riguardante le c.d. TV interattive (Tv Interattiva, misure
necessarie ed opportune per un trattamento dei dati conforme alle disposizioni vigenti 3 febbraio 2005), il Garante ha ribadito tale impostazione, rilevando che "anche
laddove sia stato acquisito uno specifico consenso, i dati di dettaglio su acquisti e servizi
possono essere eventualmente conservati per un periodo comunque non superiore a
dodici mesi dalla loro registrazione, in riferimento a finalità commerciali, pubblicitarie o
di profilazione, perseguite anche da parte di terzi, salva la loro trasformazione in forma
anonima che non permetta di identificare gli interessati, anche indirettamente o
collegando banche di dati. Eventuali intenzioni di trattare i dati oltre tali termini
potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del
Codice. In caso di cessazione del rapporto deve cessare ogni loro utilizzazione per le
predette finalità. Deve essere individuato un termine di conservazione dei dati personali
una volta cessato il rapporto anche in relazione ad eventuali finalità amministrative, non
superiore ad un trimestre (fatti salvi eventuali specifici obblighi di legge sulla
conservazione di documentazione contabile, evitando una loro applicazione
impropria). Occorre specificare questi aspetti nell'informativa e predisporre idonei
meccanismi di cancellazione automatica dei dati anche da parte di terzi ai quali gli
stessi siano stati eventualmente comunicati (specie a fini di profilazione o di marketing).".
Tuttavia, vagliando la legittimità delle attività di profilazione della clientela di una
catena alberghiera, il Garante ha ritenuto che "in applicazione dei principi di pertinenza
e proporzionalità, va altresì segnalata la necessità di identificare i tempi massimi di
conservazione dei dati trattati alla luce delle finalità in concreto perseguite dalla
società mediante il trattamento dei dati raccolti, nonché delle scelte effettuate
dall'interessato in ordine al loro trattamento (ad esempio nel caso di restituzione della
66
carta). I dati personali dei quali non è necessaria la conservazione in relazione agli scopi
per i quali sono stati trattati devono essere cancellati o trasformati in forma anonima
(art. 11, comma 1, lett. e), del Codice). In particolare, nell'ipotesi in cui il trattamento dei
dati sia preordinato alla […] creazione di profili dei clienti partecipanti o meno al
programma "optime", risulta congrua la conservazione dei dati raccolti per la durata di
dodici mesi decorrenti dalla registrazione delle informazioni e conformemente a quanto
stabilito nel menzionato provvedimento del 24 febbraio 2005". Qui il riferimento sembra
essere a qualsiasi dato trattato a scopo di profilazione, indipendentemente dal fatto
che sia legato al "dettaglio degli acquisti".
Sul punto, purtroppo, non vi è certezza giuridica.
Alla luce di quanto sopra, occorre considerare che (i) in applicazione del principio di
proporzionalità i dati trattati a scopo di profilazione non possono essere conservati per
un periodo di tempo indefinito o eccessivamente lungo, (ii) i dati di dettaglio degli
acquisti non possono essere conservati per un tempo di conservazione superiore a 12
mesi dalla data di registrazione dei dati e (iii) per tutti gli altri dati, che comunque non
possono essere conservati a tempo indefinito o per periodo di tempo eccessivamente
lunghi, non vi è certezza giuridica circa i tempi massimi di conservazione (sebbene un
tempo massimo di 12 mesi dalla registrazione sembra comunque costituire il parametro
di riferimento assunto dal Garante per valutare la legittimità dei trattamenti di dati
personali a scopo di profilazione; in caso di contestazione, spetterebbe probabilmente
al titolare provare che un tempo di conservazione maggiore è necessario in relazione
agli scopi per i quali i dati sono trattati).
67
GLI AUTORI
Lapo Curini Galletti ([email protected]): è un legale specializzato in diritto dei media e delle
nuove tecnologie, con un focus particolare sul mondo di Internet e della pubblicità online. Dopo
un’esperienza come imprenditore ed operatore del settore (amministratore di ADVance S.r.l. e capo
progetto di IN3), ha lavorato come legale presso alcuni importanti studi legali internazionali
(Simmons&Simmons e DLA Piper). È fondatore di Synthesis (www.synetwork.it), un network di legali e
professionisti che fornisce servizi integrati di consulenza nel settore ICT.
Italo de Feo ([email protected]): avvocato, partner presso l'ufficio di Roma dello studio
legale internazionale CMS Adonnino Ascoli & Cavasola Scamoni (www.cms-aacs.com). È specializzato
diritto delle tecnologie e della proprietà intellettuale, con particolare esperienza in materia di privacy,
outsourcing di servizi tecnologici, software e licenze, regolamentazione di internet e delle
telecomunicazioni. Ha la doppia qualifica di avvocato italiano e di solicitor inglese, avendo svolto parte
della propria attività professionale presso l'ufficio di Londra di un primario studio legale internazionale.
Socio fondatore della European Outsourcing Association Italy (www.eoaitaly.it), Italo de Feo è
segnalato tra i professionisti di riferimento del settore TMT da alcune tra le principali guide legali
internazionali (Legal500 2013, Chambers Legal 2012, Whoswholegal 2012).
Marco Leone ([email protected]): avvocato, lavora come associato nel dipartimento di
Technology, Media & Telecoms dello studio legale internazionale CMS Adonnino Ascoli & Cavasola
Scamoni (www.cms-aacs.com). Si occupa di diritto dell’Internet e delle nuove tecnologie, ed in
particolare di privacy e protezione dei dati personali. È un Certified Information Privacy Professional
(CIPP/E) e cura il sito www.livinginaglassworld.com, blog di informazione giuridica sul diritto della
privacy e delle nuove tecnologie.
www.iab.it
www.cms-aacs.com
Copyright © 2013 Lapo Curini Galletti, Italo de Feo, Marco Leone. I diritti di elaborazione in qualsiasi forma o opera, di
memorizzazione anche digitale su qualsiasi tipo, di riproduzione e di adattamento totale o parziale con qualsiasi mezzo, i
diritti di noleggio, di prestito e di traduzione e tutti gli altri diritti di proprietà intellettuale sono riservati per tutti i paesi.
L’opera è concessa a IAB ed ai suoi soci in licenza d’uso perpetua e non esclusiva. La presente opera non costituisce un
parere professionale ed essa, sebbene sia stata curata con scrupolosa attenzione, non può comportare l’insorgere di
responsabilità in capo agli autori per eventuali involontari errori o inesattezze.