Garante per la protezione
    dei dati personali


Raccolta di dati personali da parte di un sitospecializzato per richieste di preventivi (prestiti personali)

PROVVEDIMENTO DEL 9 OTTOBRE 2014

Registrodei provvedimenti 
n. 447 del 9 ottobre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano,componente e del dott. Giuseppe Busia, segretario generale;

VISTIgli artt. 41 della Costituzione e 16 della Carta dei diritti fondamentalidell'Unione Europea, riguardo alla libertà d'impresa e di iniziativa economica;

VISTO ilCodice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n.196, di seguito «Codice»), e in particolare le disposizioni di cui agli artt.4, comma 1, lett. a); 11, comma 2; 13, commi 1 e 2; 23, comma 3; 130, commi 1 e2;

VISTE le"Linee guida in materia di attività promozionale e contrasto allospam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013);

TENUTOCONTO che l'Ufficio di questa Autorità, a seguito di una segnalazione riguardantecomunicazioni promozionali indesiderate avente ad oggetto offerte di preventivorelative a prestiti personali, ha avviato un'istruttoria preliminarenell'ambito della quale ha effettuato un accertamento sul sitowww.esitoprestiti.it, che, secondo quanto emerso, sarebbe stato utilizzato dalsegnalante per inoltrare una richiesta di preventivo;

CONSIDERATOche, nell'occasione, in particolare dall'analisi del form di raccolta dei datidegli utenti presente sul detto sito, emergeva che, a fronte di più finalitàindicate nell'informativa ex art. 13 del Codice, veniva acquisito un unico egenerico consenso al trattamento dei dati e che peraltro la relativa casellarisultava preselezionata;

CONSIDERATOche il 28 e 29 maggio u.s. questa Autorità, con l'ausilio del Nucleo SpecialePrivacy della Guardia di Finanza, ha condotto un accertamento ex art. 157 delCodice presso la sede operativa di Grant Change s.r.l., in via Milano n. 6,Nichelino (TO), risultante, a quella data, quale titolare del sito www.esitoprestitit.it,al fine di verificare la liceità del trattamento dei dati personali effettuatidalla medesima, anche alla luce delle recenti Linee guida sopra citate;

CONSIDERATAperaltro l'esigenza di garantire l'effettiva tutela del diritto alla protezionedei dati personali dell'interessato-consumatore, al quale venga richiesto dirilasciare a soggetti intermediari o altri professionisti operanti nel settoredel credito i propri dati personali nel delicato momento della ricerca dipossibili fonti di finanziamento, come ad esempio: prestiti personali, cessionidel quinto, consolidamenti di debiti, tanto più tenuto conto dell'attualesituazione di grave crisi socioeconomica;

RILEVATOche in occasione dell'accertamento di cui sopra (cfr. relativo verbale del 28 maggiou.s.) è emerso che Grant Change s.r.l., in qualità di titolare del trattamento,tramite il sito www.esitoprestiti.it di sua proprietà, raccoglie i "datipersonali di utenti interessati a richiedere preventivi di prestiti personali(es. cessione del quinto, consolidamento debiti, ecc.)" e che "talidati vengono successivamente comunicati agli intermediari abilitatiall'erogazione del prestito (agenti, mediatori o istituti bancari), chesuccessivamente contatteranno l'utente per fornire il preventivo richiesto,mediante i dati di contatto rilasciati dal cliente nel form di registrazione(numero di telefono e/o email)";

CONSIDERATOche, relativamente a tale raccolta di dati personali, è stato rilevato che lasocietà, nell'informativa rilasciata alla data dell'accertamento, dichiara diraccogliere, in qualità di titolare del trattamento, i dati degli utenti (e inparticolare, nome, cognome, provincia di residenza, indirizzo di postaelettronica e recapito di telefonia mobile) per perseguire varie finalità,ulteriori e diverse dal servizio di inoltro della richiesta di preventivo agliintermediari abilitati (nonché dall'esecuzione degli adempimenti di legge), ein particolare:  "Š. fornire agli iscritti che hanno inserito il loroindirizzo di posta elettronica materiale a carattere formativo e/o informativo(newsletter);Š. elaborare studi e ricerche statistiche e di mercato; Š inviaremateriale pubblicitario e/o informativo relativo a nuove offerte di prodotti eservizi di Grant Change S.r.l e/o di soggetti terzi con i quali Grant Changes.r.l. abbia stipulato accordi commerciali e/o di marketing; Š. verificare illivello di soddisfazione degli utenti e per ogni atti¬vità di fidelizzazionedei clienti; Š finalizzare attività di vendita di prodotti e servizi di GrantChange S.r.l. e/o di soggetti terzi con i quali Grant Change S.r.l. abbiastipulato accordi commerciali e/o di marketing; Š inviare comunicazioni e/oinformazioni commerciali di prodotti e servizi di Grant Change S.r.l. e/o disoggetti terzi con i quali Grant Change S.r.l. abbia stipulato accordicommerciali e/o di marketing";

CONSIDERATOche la società ha dichiarato (cfr. citato verbale del 28 maggio u. s.) che almomento "i dati personali degli utenti vengono raccolti solo per la meraconservazione temporanea e per la loro comunicazione ai vari intermediariabilitati (attualmente solo Stimata s. p. a.), quale agente in attivitàfinanziaria"; e che ciascuna di tali attività (conservazione ecomunicazione dei dati) costituisce trattamento di dati personali rilevante aifini del Codice (cfr. in particolare art. 4, comma 1, lett. a) e delle tuteleda esso previste;

RILEVATO,tuttavia, che nell'informativa di cui sopra, in contrasto con il testodell'art. 13, comma 1, del Codice nonché con la ratio stessa della norma digarantire un'informazione dell'interessato chiara, precisa e trasparente, nonrisulta alcun riferimento alle due sopra citate attività di trattamento pureffettuate dalla società, e che comunque tali attività, dalle informazionirilevabili sul predetto sito,  non sono chiaramente riconducibili allatitolarità della società, né quindi possono ritenersi "elementi già notiagli interessati" (e che pertanto non risulta applicabile la normasemplificatoria dell'art. 13, comma 2, del Codice); e che, nell'informativa,altresì non risultano indicati: la natura obbligatoria o meno del conferimentodei dati da parte degli utenti alla società, né le modalità con cuieventualmente quest'ultima intenda eventualmente effettuare l'attivitàpromozionale comunque indicata nell'informativa, né i singoli soggetti terzi ole categorie merceologiche di appartenenza di quest'ultimi, in nome e/o perconto dei quali intenda eventualmente inviare le loro comunicazionipromozionali, né peraltro è chiaro se la società intenda in futuro comunicare idati raccolti a soggetti terzi perché possano svolgere le loro attivitàpromozionali;

RILEVATOche l'informativa resa dalla società sul sito www.esitoprestiti.it è quindiinidonea e pertanto ritenuto necessario che la società la modifichispecificando e integrando gli elementi sopra indicati, al fine diconsapevolizzare il più possibile gli interessati sui diversi trattamenti deiloro dati personali, che la medesima società già effettua o intenda effettuare,in conformità all'art. 13 del Codice;

CONSIDERATOche il form di raccolta dei dati prevede l'acquisizione di un unico eindistinto consenso, peraltro con il relativo flag già inserito, degli utenti afronte delle più eterogenee finalità dichiarate nell'informativa e diversedalla finalità di erogazione del servizio di inoltro della richiesta dipreventivo agli intermediari abilitati;

CONSIDERATOperaltro che, in un'ottica di necessario bilanciamento fra il diritto allaprotezione dei dati personali degli utenti e il diritto alla libera iniziativaeconomica della società, nonché di opportuna semplificazione dell'adempimento,in capo alla società, dell'obbligo di acquisizione del consenso degli utenti diseguito dettagliato, tali finalità possono essere raggruppate in due diversecategorie e individuate più sinteticamente come: invio di newsletterinformative e comunicazioni promozionali per conto proprio e/o per conto terzi;attività statistiche, attività di verifica del livello di soddisfazione degliutenti e di fidelizzazione;

CONSIDERATOche, coerentemente con quanto sopra osservato, la medesima società hadichiarato (v. verbale del 28 maggio u.s.) che: "Il consenso altrattamento dei dati nei confronti della Grant Change da parte degliinteressati viene raccolto attraverso il box già prefleggato, con possibilitàdi deselezionarlo, presente in calce al form di raccolta e posto a fianco delladicitura 'Ho letto l'informativa e autorizzo Grant Change S.r.l. al trattamentodei miei dati'.", e che peraltro dall'informativa risulta che, compilandoe inviando il modulo, l'interessato accetta il trattamento dei propri dati pertutte le finalità indicate, nessuna esclusa;

CONSIDERATOperaltro che, come accertato dall'Ufficio mediante un ulteriore accesso direttoal sito in questione in data 19 settembre u.s., risulta di fatto obbligatorio,per l'utente che voglia procedere con l'invio della richiesta di preventivo,l'inserimento nel relativo form di alcuni dati personali (in particolare, oltreal nome e cognome, il numero di telefonia mobile) che, tenuto conto dellefinalità di trattamento espressamente dichiarate nell'informativa, la societàsi riserva di utilizzare anche per l'attività di vendita di prodotti e servizipropri e/o di soggetti terzi;

VISTO ildisposto dell'art. 23, comma 3, e dell'art. 130, commi 1 e 2, del Codice,secondo cui, di regola (fatte salve limitate eccezioni previstedall'ordinamento vigente, come quella relativa al registro delle opposizioniper il telemarketing effettuato mediante operatore o il c.d. "softspam", di cui all'art. 130, comma 4, del Codice), il trattamento di datipersonali da parte dei privati per finalità promozionali, o comunque diverse daquella di erogazione del servizio (o altra finalità di tipo contrattuale), èammesso solo dopo la previa acquisizione di un consenso dell'interessatoespresso, libero, informato e specifico, con riferimento a trattamentichiaramente individuati e documentato per iscritto, come ribadito dalle citate"Linee guida in materia di attività promozionale e contrasto allospam";

CONSIDERATOinoltre che, come già rilevato da questa Autorità (provv. 22 febbraio 2007; provv.  12 ottobre 2005; provv.  3 novembre 2005; provv. 10 maggio 2006; provv. 15 luglio 2010) gli interessati devono essere messi in grado diesprimere consapevolmente e liberamente le proprie scelte in ordine altrattamento dei dati che li riguardano, manifestando il proprio libero consensoper ciascuna distinta finalità perseguita dal titolare (cfr. provv.  24 febbraio 2005, punto 7; provv. 20 dicembre 2012) e che pertanto il titolare non può chiedere un unico consenso per più eterogenee finalità di trattamento, tantomeno già preselezionato, anche se deselezionabile successivamente dall'utente;

RILEVATOquindi che sia l'invio di newsletter informative e comunicazioni promozionaliper conto proprio e/o per conto terzi, anche qualora, come nel caso di specie,sia gratuitamente effettuato dal titolare, sia le attività statistica, diverifica del livello di soddisfazione degli utenti e di fidelizzazione, siaanche l'eventuale comunicazione dei dati raccolti a soggetti terzi per le lorofinalità promozionali, necessitano di un previo distinto consenso espresso,libero, specifico e documentato per iscritto;

CONSIDERATOpertanto che le attività di trattamento dei dati, come sopra individuate,effettuate dalla società senza il relativo consenso espresso, libero, specificoe documentato per iscritto, costituiscono un trattamento illecito di dati eche, ai sensi dell'art. 11, comma 2, del Codice, i dati personali trattati inviolazione della disciplina rilevante in materia di dati personali non possonoessere utilizzati;

CONSIDERATOperaltro che, in occasione del citato successivo accertamento effettuato d'ufficio sul sito www.esitoprestiti.it il 19 settembre u.s., è emerso che neldetto form risulta inserito un consenso specifico per le finalità promozionaliche parrebbe riferito all'attività di trattamento di Stimata S.p.a. (come si èdetto sopra, destinataria dei dati personali raccolti sul sito in questione),mentre Grant Change s.r.l. continua a dichiarare, nell'informativa rilasciata,di raccogliere i dati personali degli utenti per più diverse finalità e adacquisire un unico indistinto consenso preselezionato per le proprie attivitàdi trattamento di dati;

CONSIDERATOche, come dichiarato dalla medesima società, attraverso il sito predetto ognigiorno vengono veicolate, in media, circa 400 richieste di preventivi (cfr.verbale del 28 maggio u.s.), e che i trattamenti posti in essere dalla società,tenuto conto anche della quantità rilevante di dati trattati, presentanocarattere sistematico;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamentoillecito o non corretto dei dati o di disporne il blocco e di adottare altresìgli altri provvedimenti previsti dalla disciplina applicabile al trattamentodei dati personali;

RILEVATAla necessità di adottare nei confronti di Grant Change s.r.l., ai sensi degliartt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice, unprovvedimento di divieto del trattamento dei dati personali degli utentiraccolti sul sito www.esitoprestiti.it per le attività di conservazionetemporanea e di comunicazione dei medesimi a Stimata S.p.a., senza averrilasciato un'idonea informativa ex art. 13 del Codice; nonché del trattamentodei medesimi dati per le due ulteriori distinte finalità indicatenell'informativa come sopra raggruppate ed individuate (l'invio di newsletterinformative  e comunicazioni promozionali per conto proprio e/o per contoterzi; le attività statistiche, di verifica del livello di soddisfazione degliutenti e di fidelizzazione), senza aver provveduto alla previa acquisizione delnecessario consenso espresso, libero, specifico e documentato per iscrittodegli interessati ex art. 23, comma 3, del Codice;

RITENUTOnecessario altresì, ai sensi degli artt. 143, comma 1, lett. b), 144 e 154,comma 1, lett. c) del Codice, adottare nei confronti di Grant Change s.r.l. unprovvedimento prescrittivo volto a rendere conformi alla normativa in materiadi protezione dei dati personali i trattamenti dei dati raccolti sul sitowww.esitoprestitit.it o con qualunque altro strumento che la societàeventualmente deciderà di utilizzare;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni; che, ai sensi dell'art. 162, comma 2-ter del Codice, in casodi inosservanza del predetto divieto o delle prescrizioni impartite con ilmedesimo provvedimento, in ogni caso, è altresì applicata in sedeamministrativa la sanzione del pagamento di una somma da trentamila acentottantamila euro;

RILEVATAla sussistenza dei presupposti per contestare a Grant Change s.r.l. leviolazioni amministrative di competenza di questa Autorità, con particolareriguardo al rilascio di un'informativa inidonea agli utenti nonché alla mancataacquisizione di un consenso specifico dei medesimi per le eterogenee finalitàsopra indicate, e pertanto ritenuto necessario avviare un autonomo procedimentosanzionatorio nei confronti della medesima società in relazione ai profilisopra citati;

RISERVATAla facoltà dell'Autorità di condurre un'apposita istruttoria anche relativamenteai trattamenti effettuati dagli intermediari ai quali vengono comunicati i datipersonali raccolti sul sito www.esitoprestiti.it;

RILEVATOche resta impregiudicata la facoltà per gli interessati di far valere i propridiritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA ladocumentazione in atti;

VISTE leosservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO IL GARANTE:

a)     dichiara illecito ilsuindicato trattamento di dati effettuato da Grant Change s.r.l., con sedelegale in Milano, Via Pisani n. 6, dei dati personali degli utenti raccolti sulsito www.esitoprestiti.it, senza aver rilasciato un'idonea informativa ex art.13 del Codice;

b)     vieta a Grant Changes.r.l., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett.d), del Codice, l'ulteriore trattamento dei dati personali di cui sopra, nonchél'eventuale trattamento dei medesimi dati per le ulteriori distinte finalitàindicate nell'informativa come sopra raggruppate ed individuate (invio dinewsletter informative e comunicazioni promozionali per conto proprio e/o perconto terzi; nonché attività statistiche, di verifica del livello disoddisfazione degli utenti e di fidelizzazione), senza aver provveduto allaprevia acquisizione del necessario consenso espresso, libero, specifico edocumentato per iscritto degli interessati ex art. 23 e 130 del Codice;

c)     prescrive a Grant Changes.r.l., ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett.c), del Codice, di adottare le  misure necessarie e opportune al fine direndere i trattamenti dei dati personali conformi alle disposizioni del Codice,dandone -entro e non oltre il termine di sessanta giorni dalla data diricezione del presente provvedimento- riscontro documentato a questa Autoritàcomprovante l'avvenuto adeguamento, accompagnato da una dichiarazione dellegale rappresentante della società, rilasciata ai sensi e per gli effettidell'art. 168 del Codice; in particolare, prescrive:

1. di modificare e integrare l'informativa resa exart. 13 del Codice, avvisando gli utenti che i dati raccolti dalla societàverranno conservati temporaneamente dalla società e poi comunicati agliintermediari abilitati ai fini della ricezione dei preventivi richiesti;specificando: la natura obbligatoria o meno del conferimento dei dati da partedegli utenti, le modalità (tradizionali come telefonate con operatore e/o postacartacea; automatizzate, come posta elettronica, fax, sms), con cuieventualmente intenda in futuro effettuare l'attività promozionale per contoproprio e/o di soggetti terzi, i singoli soggetti terzi o le categoriemerceologiche di appartenenza di quest'ultimi, in nome e/o per conto qualiintenda eventualmente inviare le loro comunicazioni promozionali; nonchéchiarendo se la società intenda comunicare i dati raccolti a soggetti terziperché possano svolgere le loro attività promozionale e, in tal caso,specificarne almeno le categorie merceologiche di appartenenza, conformemente aquanto previsto dalle citate Linee Guida del 4 luglio 2013;

2. qualora la società intenda proseguire a raccoglieredati personali, mediante il sito www.esitoprestiti.it o qualunque altrostrumento deciderà eventualmente di utilizzare, per finalità ulteriori ediverse da quella di erogazione del servizio di inoltro agli intermediariabilitati delle richieste di preventivi da parte degli utenti, modificare laformula di acquisizione del consenso al trattamento dei dati raccolti, richiedendoagli interessati, ex art. 23 e 130 del Codice, un consenso espresso,preventivo, libero, informato, documentato per iscritto e specifico perciascuna finalità diversa dall'erogazione del servizio.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 9 ottobre 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia