Garante per la protezione
    dei dati personali


Invio di messaggi promozionali senzaaver fornito l'informativa

PROVVEDIMENTO DEL 9 GENNAIO 2014

Registro dei provvedimenti 
n. 3 del 9 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e delConsiglio, relativa alla tutela delle persone fisiche con riguardo altrattamento dei dati personali, nonché alla libera circolazione di tali dati;

VISTAla direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e delConsiglio, relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche come da ultimo modificatadalla direttiva 2009/136/CE del 25 novembre 2009;

VISTAla segnalazione del signor Franco Piro del 2 luglio 2012 con la quale silamenta la ricezione di diversi messaggi promozionali indesiderati relativi alsito di e-commerce www.evolvediffusion.com inviati via e-mail da parte diEvolve S.r.l. (di seguito, la società) nonostante le richieste di cancellazioneinoltrate dal segnalante;

VISTAla nota del 10 dicembre 2012 con la quale la società ha rappresentato di averraccolto i dati del segnalante in occasione dell'attivazione della garanziarelativa all'acquisto di un casco da motociclista di marca Shoei;

VISTOche la società ha aggiunto che il consenso alla ricezione di messaggipromozionali è stato ottenuto mediante la sottoscrizione del modulo diattivazione della garanzia specificando che "tutti i nominativi cheappongono la firma in calce forniscono l'autorizzazione al trattamento dei datipersonali da parte di Evolve Srl. Tali dati sono utilizzati sia perl'attivazione della garanzia sia per finalità statistiche e commerciali oltreche per l'invio di materiale pubblicitario e promozionale";

VISTOche il modulo predetto, di cui la società allega una copia, è chiaramenteidentificato come "scheda di attivazione garanzia" e reca in calceuno spazio per la firma con la quale esprimere il consenso al trattamento deidati personali per le finalità e le modalità descritte dall'informativa;

CONSIDERATOche all'interno di tale modulo viene richiesto di fornire numerosi datipersonali e informazioni relative alle abitudini di acquisto senza che vengaspecificata l'obbligatorietà o meno del conferimento ed essendo altresìspecificato che il modulo è "da compilare in ogni sua parte e spedireper convalidare la garanzia";

VISTOche dall'unita informativa si evince unicamente che i dati forniti sarannotrattati "per finalità statistiche e commerciali oltre che per l'invio dimateriale pubblicitario e promozionale, anche per mezzo di societàincaricate" senza tuttavia specificare la natura obbligatoria ofacoltativa del conferimento dei dati nonché i soggetti o le categorie disoggetti che potranno trattarli;

CONSIDERATOinoltre che la predetta informativa non individua chiaramente il trattamentoche verrà fatto – soprattutto riguardo alle finalità statistiche ecommerciali - dei dati personali forniti che, data l'ampiezza e il livello didettaglio delle informazioni richieste, sono potenzialmente atti a definireprofili e personalità degli interessati;

CONSIDERATOche le norme in materia di garanzia legale e commerciale sui prodotti,segnatamente gli artt. 128 e seguenti del d.lgs. 6 settembre 2005, n. 206"Codice del consumo" non subordinano l'esercizio del dirittoall'obbligo per l'acquirente di fornire dati personali;

CONSIDERATOche l'art. 11, comma 1 lettera d) del Codice prevede che i dati personalioggetto di trattamento siano pertinenti e non eccedenti rispetto alle finalitàper le quali sono raccolti;

CONSIDERATO,tuttavia, che tali finalità non sono chiaramente individuate nell'informativaresa all'atto dell'acquisizione del consenso;

VISTOl'art. 23, comma 3, del Codice, il quale prevede che il trattamento di datipersonali da parte dei privati è ammesso solo previa acquisizione di unconsenso dell'interessato libero, informato e specifico, con riferimento atrattamenti chiaramente individuati, e da documentare per iscritto; 

VISTOl'art. 24, comma 1, lett. b) del Codice che prevede, tra le altre, un'ipotesidi deroga rispetto all'obbligo dell'acquisizione del consenso qualora iltrattamento sia necessario per eseguire obblighi derivanti da un contratto delquale è parte l'interessato;

CONSIDERATOche i trattamenti di dati per finalità commerciali esulano da quelli necessariper adempiere al contratto di fornitura del servizio e che pertanto per ilconseguimento di tali finalità, proprio perché ulteriori rispetto a quelle dicarattere contrattuale, il titolare è tenuto alla preventiva acquisizione diuno specifico consenso;

CONSIDERATOinoltre che, come già rilevato da questa Autorità (v., inwww.garanteprivacy.it, provv. 22 febbraio 2007; provv. 12 ottobre 2005; provv.3 novembre 2005; provv. 15 luglio 2010, provv.19 maggio 2011), nonpuò definirsi "libero", e risulta indebitamente necessitato, ilconsenso a ulteriori trattamenti di dati personali che l'interessato debbaprestare quale condizione per conseguire una prestazione richiesta, e che gliinteressati devono essere messi in grado di esprimere consapevolmente eliberamente le proprie scelte in ordine al trattamento dei dati che liriguardano, manifestando il proprio consenso per ciascuna distinta finalitàperseguita dal titolare (cfr. provv.  24 febbraio 2005, punto 7);

RILEVATOquindi che la società ha inviato messaggi promozionali via e-mail senza averacquisito un consenso libero e specifico da parte del segnalante;

CONSIDERATOche la raccolta del consenso per finalità promozionali effettuata dalla societàcon le modalità sopra descritte costituisce un trattamento illecito di dati;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamentoillecito o non corretto dei dati o di disporne il blocco e di adottare, altresì,gli altri provvedimenti previsti dalla disciplina applicabile al trattamentodei dati personali;

RILEVATAla necessità di adottare nei confronti della società un provvedimento didivieto del trattamento di dati personali, ai sensi degli artt. 143, comma 1, lett.c) e 154, comma 1, lett. d), del Codice correlato alle attività di invio dimessaggi promozionali senza l'acquisizione del necessario consenso libero,specifico e documentato degli interessati;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1,lett. c), del Codice, ha il compito di prescrivere ai titolari del trattamentole misure necessarie o opportune al fine di rendere il trattamento conformealle disposizioni vigenti;

RILEVATAla necessità di adottare nei confronti della società un provvedimentoprescrittivo, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett.c), del Codice con riferimento alla predisposizione di un'informativa conformealle disposizioni dell'art. 13, comma 1, del Codice e all'adozione di appositeprocedure per l'acquisizione del consenso libero e specifico di cui agli artt.23 e 130, comma 2, del Codice;

RISERVATA,con autonomo procedimento, la verifica della sussistenza dei presupposti per lacontestazione della violazione delle disposizioni di cui agli artt. 13, 23 e130, del Codice e la conseguente applicazione delle sanzioni di cui agli artt.161 e 162, comma 2-bis, del Codice;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni, e che, ai sensi dell'art. 162, comma 2-ter, del Codice, in casodi inosservanza del medesimo provvedimento, è  altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

RILEVATO,inoltre, che l'art. 11, comma 2, del Codice prevede che i dati personalitrattati in violazione della disciplina rilevante in materia di dati personalinon possono essere utilizzati;

CONSIDERATOche resta impregiudicata la facoltà per gli interessati di far valere i propridiritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15del Codice), con specifico riguardo agli eventuali profili di danno;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO IL GARANTE:

a)dichiara illecito il trattamento dei dati personali posto in essere da EvolveS.r.l. con sede in Fabriano (Ancona), frazione Cancelli, 128, Villa Miliani,per finalità promozionali, effettuato dalla medesima senza aver fornitoun'idonea informativa di cui all'art. 13 del Codice e senza aver ottenuto unconsenso libero e specifico ai sensi degli artt. 23 e 130, comma 2, del Codice;

b) vietaa Evolve S.r.l., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d), del Codice, il trattamento dei dati personali già acquisiti per lefinalità di invio di messaggi promozionali, senza aver fornito la suindicatainformativa e senza aver acquisito il succitato consenso, ferma restandol'utilizzabilità degli stessi dati per la fornitura dei servizi connessi allagaranzia sui prodotti.

Avversoil presente provvedimento può essere proposta opposizione ai sensi degli artt.152 del Codice e 10 del d.lgs. n. 150/2011 con ricorso dinanzi all'autoritàgiudiziaria ordinaria, in particolare al tribunale del luogo ove risiede iltitolare del trattamento, da presentarsi entro il termine di trenta giornidalla data della sua comunicazione ovvero di sessanta giorni se il ricorrenterisiede all'estero.

Roma, 9 gennaio 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia