Garante per la protezione
    dei dati personali


Raccolta di dati personali da parte di un sitospecializzato per richieste di preventivi (prestiti personali)

PROVVEDIMENTO DEL 20 NOVEMBRE 2014

Registrodei provvedimenti
 n. 532 del 20 novembre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano,componente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott.Giuseppe Busia, segretario generale;

VISTO ilCodice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n.196, di seguito «Codice»), e in particolare le disposizioni di cui agli artt.11, comma 2; 13; 23, comma 3;

VISTE le"Linee guida in materia di attività promozionale e contrasto allospam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013);

TENUTOCONTO che questa Autorità, anche nel corrente anno, al fine di garantirel'effettiva tutela del diritto alla protezione dei dati personalidell'interessato-consumatore, al quale venga richiesto di rilasciare i propridati personali nel delicato momento della ricerca di possibili fonti difinanziamento, ha effettuato alcuni controlli a campione sui siti web deisoggetti di cui sopra, fra cui il sito www.italprestonline.com, in quantoemerso fra i primi nei risultati reperibili sui comuni motori di ricerca,riguardo al servizio di intermediazione nelle richieste di prestiti sulterritorio italiano;  

CONSIDERATOche, nell'occasione, in particolare dall'analisi del form di raccolta dei datipersonali degli utenti presente sul detto sito, emergeva che veniva acquisitoun consenso preimpostato al trattamento per più eterogenee finalità;    

CONSIDERATOche nelle date del 15 e 16 ottobre u.s. questa Autorità, con l'ausilio delNucleo Speciale Privacy della Guardia di Finanza, ha condotto un accertamentoex art. 157 del Codice presso la sede operativa di Italprest di Luca Bosimini& C. S.a.s. (di seguito indicata come Italprest), in Perugia, via Martiridei Lager n. 60/62, risultante quale titolare del sito www.italprestonline.com,al fine di verificare la liceità del trattamento dei dati personali effettuatidalla medesima, anche alla luce delle recenti Linee guida sopra citate;

RILEVATOche in occasione dell'accertamento di cui sopra (come da relativo verbale del15 ottobre u.s.) è emerso che Italprest svolge attività di intermediazione nelsettore finanziario e che nello specifico propone prodotti di cessione delquinto e delegazione di pagamento per conto di Intesa Sanpaolo Personal FinanceS.p.A. (già Neos Finance S.p.A.), trattando i dati personali degli interessati,in qualità di responsabile del trattamento, somministrando la modulistica delladetta società; invece agisce come titolare del trattamento dei dati personalidegli utenti raccolti, a partire dal 2007, mediante il proprio sitowww.italprestonline.com, nonché mediante propri moduli cartacei, tramite iquali rilascia una propria informativa e richiede per sé il consenso altrattamento degli interessati;

RILEVATOche, sia in relazione al proprio sito web, sia in relazione ai propri modulicartacei,  Italprest acquisisce un unico consenso preselezionato perl'attività promozionale e per quella di comunicazione  dei dati raccolti asoggetti terzi, come titolari autonomi, per le loro finalità promozionali (comeda verbale del 15 ottobre cit.) e che peraltro il consenso preimpostato nelform on line non risulta deseleziona-bile, dato che la relativa formula diacquisizione del consenso è inserita in un file pdf raggiungibile mediante unlink inserito nel form;

RILEVATOinoltre che il form del sito in questione prevede la compilazione obbligatoriadei campi relativi a nome, email, provincia, telefono e tipologia reddito; chela procedura di invio della richiesta di preventivo prevede obbligatoriamentela spunta della voce "accetto le condizioni di trattamento della privacy eregole di trasparenza di Italprest S.a.s.", come evidenziato dall'avvisoriportante la dicitura "devi accettare le condizioni di privacy etrasparenza prima di inviare la richiesta"; e che, solo a seguito dellapredetta spunta, la richiesta di preventivo può essere inviata con esitopositivo (verbale del 15 ottobre cit.);

CONSIDERATOperaltro che la società ha dichiarato che l'attività promozionale e quella dicomunicazione in questione non sono attualmente svolte ma potrebbero esseresvolte in futuro in quanto la stessa si è riservata questa possibilità (verbaledel 15 ottobre cit.);

CONSIDERATOche, come dichiarato dalla medesima società, attraverso il sito predetto ognigiorno vengono veicolate, in media, circa 5/10 richieste di preventivo e che,alla data dell'accertamento, "i clienti attivi (cioè con ammortamento delprestito in corso)" che hanno richiesto il prestito sottoscrivendo anchela siffatta modulistica "privacy", risultano essere circa 2500 (verbaledel 16 ottobre u.s.); e che pertanto il trattamento posto in essere dallasocietà, tenuto conto anche del mezzo del web uti-lizzato per la raccolta deidati, presenta carattere sistematico;

VISTO ildisposto dell'art. 23, comma 3, del Codice, in base al quale il tratta-mento didati personali da parte dei privati è ammesso solo dopo la previa acquisi-zionedi un consenso dell'interessato espresso, libero, informato e specifico, conrife-rimento a trattamenti chiaramente individuati e documentato per iscritto,come ri-badito dalle citate "Linee guida in materia di attivitàpromozionale e contrasto allo spam"; e che pertanto il titolare non può,come nel caso di specie, chiedere un consenso unico per finalità fra loroeterogenee, peraltro già preselezionato e non deselezionabile dall'interessato,che quindi non può scegliere riguardo al trattamento dei propri dati;

CONSIDERATOperaltro che la raccolta di dati personali effettuata per svolgere le attivitàsopra individuate senza il relativo consenso espresso, libero, informato,specifico e documentato per iscritto, costituisce un trattamento illecito didati e che, ai sensi dell'art. 11, comma 2, del Codice, i dati personalitrattati in violazione della disciplina rilevante in materia di dati personalinon possono essere utilizzati;

CONSIDERATOinoltre che -qualora Italprest intenda proseguire a raccogliere dati personali,mediante il proprio sito, moduli cartacei o qualunque altro strumen-to, perfinalità ulteriori e diverse da quella di erogazione del servizio di inoltroagli intermediari abilitati delle richieste di preventivi da parte degliutenti- dovrà richie-dere agli interessati, ex art. 23 del Codice, un consensoespresso, preventivo, infor-mato, documentato per iscritto, libero e specificoper ciascuna diversa finalità;

RILEVATOperaltro che, relativamente all'adempimento dell'informativa resa agliinteressati ai sensi dell'art 13 del Codice, se Italprest vorrà svolgere l'attività promozionale, dovrà anche specificare nel testo dell'informativa lemodalità tradi-zionali (come ad es.: posta cartacea, telefonate con operatore) e/o automatizzate (po-sta elettronica, sms, fax) che intenda eventualmenteutilizzare;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamentoillecito o non corretto dei dati o di disporne il blocco e di adottare altresìgli altri provvedimenti previsti dalla disciplina applicabile al trattamentodei dati personali;

RILEVATAla necessità, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1,lett. d) del Codice, di adottare nei confronti di Italprest, in qualità dititolare del trattamento, un provvedimento di divieto del trattamento dei datipersonali degli utenti raccolti sul sito www.italprestonline.com  emediante moduli cartacei per le attività di invio di comunicazioni promozionaliper conto proprio e/o per conto terzi, nonché di comunicazione dei datiraccolti a soggetti terzi, come titolari auto-nomi, per le loro finalitàpromozionali (o comunque per finalità diverse da quelle strumentali ovverocollegate all'erogazione del servizio o dell'esecuzione del contratto), senzaaver provveduto alla previa acquisizione del necessario consenso libero especifico, oltre che informato e documentato per iscritto, degli interessati exart. 23, comma 3, del Codice;

RITENUTOnecessario altresì, ai sensi degli artt. 143, comma 1, lett. b),  e 154,comma 1, lett. c) del Codice, adottare nei confronti di Italprest un provvedimentoprescrittivo volto a rendere conforme alla normativa in materia di protezionedei dati personali il trattamento dei dati raccolti sul sitowww.italprestonline.com  e mediante moduli cartacei o con qualunque altrostrumento che la società eventualmente deciderà di utilizzare;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni; che, ai sensi dell'art. 162, comma 2-ter del Codice, in casodi inosservanza del predetto divieto o delle prescrizioni impartite con ilmedesimo provvedimento, in ogni caso, è altresì applicata in sedeamministrativa la sanzione del pagamento di una somma da trentamila acentottantamila euro;

RILEVATAla sussistenza dei presupposti per contestare a Italprest, mediante un autonomoprocedimento sanzionatorio, le violazioni amministrative di compe-tenza diquesta Autorità, con particolare riguardo alla mancata acquisizione di unconsenso specifico degli interessati per le finalità di invio di comunicazionipromo-zionali, nonché di comunicazione dei dati raccolti a soggetti terzi;

RISERVATAla facoltà dell'Autorità di condurre un'apposita istruttoria ancherelativamente ai trattamenti dei dati personali raccolti da Italpresteffettuati da Inte-sa Sanpaolo Personal Finance S.p.A., in qualità di titolaredel trattamento;

RILEVATOche resta impregiudicata la facoltà per gli interessati di far valere i propridiritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA ladocumentazione in atti;

VISTE leosservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

TUTTOCIŅ PREMESSO IL GARANTE:

a)     dichiara illecita laraccolta dei dati personali degli utenti effettuata da Italprest di LucaBosimini & C. S.a.s., con sede legale in Perugia, via Chirigiola n. 16, sulsito www.italprestonline.com e mediante moduli cartacei, per le attività diinvio di comunicazioni promozionali per conto proprio e/o per conto terzi,nonché di comunicazione dei dati raccolti a soggetti terzi per le loro finalitàpromozionali (o comunque per finalità diverse da quelle strumentali ovverocollegate all'erogazione del servizio o dell'esecuzione del contratto), senzaaver provveduto alla previa acquisizione del necessario consenso libero especifico degli interessati, oltre che informato e documentato per iscritto, exart. 23, comma 3, del Codice;

b)     vieta alla suddetta società,ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), delCodice, il trattamento dei dati indicati alla precedente lettera a) per l'inviodi comunicazioni promozionali per conto proprio e/o per conto terzi, nonché perla comunicazione dei dati raccolti a soggetti terzi come sopra specificata, inassenza del necessario consenso libero e specifico degli interessati;

c)     prescrive alla medesimasocietà, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c),del Codice, di adottare le misure necessarie e opportune al fine di rendere iltrattamento dei dati personali conforme alle disposizioni del Codice, qualoraintenda proseguire a raccogliere dati personali, mediante il proprio sito,moduli cartacei o qualunque altro strumento deciderà eventualmente diutilizzare, per finalità ulteriori e diverse da quella di erogazione delservizio di inoltro agli in-termediari abilitati delle richieste di preventivida parte degli utenti, e in particolare di:

1) modificare la formula di acquisizione del consensoal trattamento dei dati raccolti, richiedendo agli interessati, ex art. 23 unconsenso espresso, preventivo, informato, documentato per iscritto, libero especifico per ciascuna diversa finalità,

2) specificare, conseguentemente, nell'informativaresa ai sensi dell'art 13 del Codice, le modalità tradizionali (come ad es.:posta cartacea, telefonate con operatore) e/o automatizzate (posta elettronica,sms, fax ) che intenda eventualmente utilizzare  per lo svolgimentodell'attività promozionale;

d)     prescrive alla medesimasocietà di dare riscontro documentato a questa Autorità comprovante l'avvenutoadeguamento, accompagnato da una dichiarazio-ne del legale rappresentante dellasocietà, rilasciata ai sensi e per gli effetti dell'art. 168 del Codice, entroe non oltre il termine di sessanta giorni dalla data di ricezione del presenteprovvedimento.

Ai sensidegli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero. 

Roma, 20 novembre 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia