Garante per la protezione
    dei dati personali


Provvedimento inibitorio e prescrittivo neiconfronti di AdSpray S.r.l.

PROVVEDIMENTO DEL 25 SETTEMBRE 2014 -

Registrodei provvedimenti
 n. 427 del 25 settembre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici, componente e del dott. Giuseppe Busia, segretario generale;

VISTO ilCodice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito «Codice»);

VISTA ladirettiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio,relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati;

VISTA ladirettiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e delConsiglio, relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche come da ultimo modificatadalla direttiva 2009/136/CE del 25 novembre 2009;

VISTA lasegnalazione del dottor Cristiano Ravalli del 14 ottobre 2013 inerente laricezione via e-mail di un messaggio indesiderato di natura promozionaleavente ad oggetto servizi della società Vodafone Omnitel B.V.;

VISTOche, a seguito dell'istruttoria condotta dall'Ufficio, è emerso che la suddettae-mail è stata inviata dalla società AdSpray S.r.l. (di seguito, lasocietà) utilizzando proprie liste di contatti;

VISTA la nota del28 gennaio 2014 pervenuta dalla società in risposta ad una specifica richiestadell'ufficio, con la quale la stessa ha rappresentato che i dati utilizzati perl'effettuazione della campagna promozionale oggetto di segnalazione sono statiraccolti all'atto dell'iscrizione al servizio di newsletter del portale www.laretediclo.it;nella stessa nota la società ha specificato che «nel caso l'utente nonacconsenta al trattamento dei dati personali ai sensi della D.LGS. 196/2003, laprocedura di iscrizione non provocherà alcun effetto» e che «agli utentiiscritti vengono dunque inviate comunicazioni di tipo informativo o dicarattere commerciale. In entrambi i casi all'utente è offerta in ognicomunicazione la possibilità di disiscriversi dalla lista»;

VISTOche - per verificare le modalità con cui veniva effettivamente acquisito ilconsenso degli interessati all'atto dell'iscrizione al suddetto servizio di newsletter- è stato effettuato un accertamento d'ufficio sul sito www.laretediclo.itin data 30 aprile 2014; da tale accesso sono emersi i seguenti elementi:

- per l'iscrizione alla newsletter è richiestodi inserire l'indirizzo e-mail;
- in calce al form diraccolta dati è presente una casella di spunta (c.d. checkbox) con laquale il contraente può esprimere il consenso «al trattamento dei datipersonali»; se si invia la richiesta di iscrizione senza validare lacasella del consenso non risulta possibile accedere al servizio e appare ilmessaggio «è richiesta la selezione della casella»;

VISTOl'art. 23, comma 3, del Codice, il quale prevede che il trattamento di datipersonali da parte dei privati è ammesso solo previa acquisizione di unconsenso dell'interessato libero, informato e specifico, con riferimento atrattamenti chiaramente individuati, e da documentare per iscritto;  

VISTOl'art. 24, comma 1, lett. b) del Codice che prevede, tra le altre, un'ipotesidi deroga rispetto all'obbligo dell'acquisizione del consenso qualora iltrattamento sia necessario per eseguire obblighi derivanti da un contratto delquale è parte l'interessato;

CONSIDERATOche i trattamenti di dati per finalità commerciali esulano da quelli necessariper adempiere al contratto di fornitura del servizio e che pertanto per ilconseguimento di tali finalità, proprio perché ulteriori rispetto a quelle dicarattere contrattuale, il titolare è tenuto alla preventiva acquisizione diuno specifico consenso;

VISTOl'art. 130, commi 1 e 2, del Codice, in base al quale l'invio di comunicazionipromozionali effettuato con modalità automatizzate, come ad esempio la postaelettronica,  è consentito solo con il consenso del contraente o utente;

CONSIDERATOinoltre che, come già più volte rilevato da questa Autorità (si vedano, a talproposito anche le linee guida del Garante in materia di attività promozionalee contrasto allo spam del 4 luglio 2013, in www.garanteprivacy.it, doc. webn° 2542348), non può definirsi "libero", e risulta indebitamentenecessitato, il consenso a ulteriori trattamenti di dati personali chel'interessato debba prestare quale condizione per conseguire una prestazionerichiesta, e che gli interessati devono essere messi in grado di esprimereconsapevolmente e liberamente le proprie scelte in ordine al trattamento deidati che li riguardano, manifestando il proprio consenso per ciascuna distintafinalità perseguita dal titolare;

RILEVATOquindi che la società non ha consentito agli interessati di esprimere unospecifico consenso per la ricezione di messaggi promozionali via e-mailessendo stato, come detto, obbligatorio prestare il consenso alla ricezione deglistessi per potersi iscrivere al servizio di newsletter, salvo lapossibilità di servirsi dell'opt-out;

CONSIDERATOche la raccolta del consenso per finalità promozionali effettuata dalla societàcon le modalità sopra descritte costituisce un trattamento illecito di dati;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154,comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficioil trattamento illecito o non corretto dei dati o di disporne il blocco e diadottare, altresì, gli altri provvedimenti previsti dalla disciplinaapplicabile al trattamento dei dati personali;    

RILEVATAla necessità di adottare nei confronti della società un provvedimento didivieto del trattamento di dati personali, ai sensi degli artt. 143, comma 1,lett. c), 144 e 154, comma 1, lett. d), del Codice correlato alle attività diinvio di messaggi promozionali senza l'acquisizione del necessario consensolibero, specifico e documentato degli utenti già registrati al servizio di newsletterdel portale www.laretediclo.it;

RISERVATA,con autonomo procedimento, la verifica della sussistenza dei presupposti per lacontestazione della violazione della disposizione di cui agli artt. 23 e 130del Codice e la conseguente applicazione della sanzione di cui all'art. 162,comma 2-bis, del Codice;

RILEVATA,altresì, la necessità di adottare nei confronti della società un provvedimentoprescrittivo ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1,lett. c), del Codice;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni; che, ai sensi dell'art. 162, comma 2-ter, del Codice, in casodi inosservanza del predetto divieto o delle prescrizioni impartite con ilmedesimo provvedimento è  altresì applicata in sede amministrativa, inogni caso, la sanzione del pagamento di una somma da trentamila acentottantamila euro;

RILEVATO,inoltre, che l'art. 11, comma 2, del Codice prevede che i dati personalitrattati in violazione della disciplina rilevante in materia di dati personalinon possono essere utilizzati;

CONSIDERATOche resta impregiudicata la facoltà per gli interessati di far valere i propridiritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA ladocumentazione in atti;

VISTE leosservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO' PREMESSO IL GARANTE:

a)   dichiara illecito il trattamento dei dati personali posto in essere daAdSpray S.r.l. con sede legale in Castiglion Fiorentino (Arezzo), Viale Mazzini29, per finalità promozionali, effettuato dalla medesima senza aver ottenuto unconsenso libero e specifico degli interessati ex artt. 23 e 130 delCodice;

b)   ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1,lett. d), del Codice, vieta ad AdSpray S.r.l. il trattamento dei datipersonali di cui alla precedente lettera a), già raccolti, degli utentiregistrati al servizio di newsletter per le finalità di invio di messaggipromozionali, ferma restando l'utilizzabilità degli stessi per la fornitura deiservizi;

c)   ai sensi degli artt. 143, comma 1, lett b), 144 e 154, comma 1,lett. c) del Codice, prescrive ad AdSpray S.r.l. - qualora quest'ultimaintenda continuare ad utilizzare lo strumento della posta elettronica perl'invio di comunicazioni promozionali - di adottare le misure necessarie eopportune, atte a garantire la completa ottemperanza a quanto stabilito dagliartt. 23 e 130 del Codice prevedendo la possibilità per gli interessati diesprimere uno specifico consenso e fornendone adeguata documentazione alGarante entro sessanta giorni dalla ricezione del presente provvedimento.

Avversoil presente provvedimento può essere proposta opposizione ai sensi degli artt.152 del Codice e 10 del d.lg. n. 150/2011 con ricorso dinanzi all'autoritàgiudiziaria ordinaria, in particolare al tribunale del luogo ove risiede iltitolare del trattamento, da presentarsi entro il termine di trenta giornidalla data della sua comunicazione ovvero di sessanta giorni se il ricorrenterisiede all'estero.

Roma, 25 settembre 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia