L’invio di anche una sola email dopo la revoca del consenso dell’interessato costituisce violazione della privacy.
Per approfondimenti consigliamo: Formulario commentato della privacy
1. I fatti
Un reclamante lamentava al Garante per la protezione dei dati personali che il CAAF locale aveva violato la normativa in materia di privacy, fornendo un riscontro solo formale alla sua richiesta di cancellazione dei dati personali e di revoca del consenso.
In particolare, il reclamante sosteneva di aver inviato al suddetto CAAF una comunicazione di revoca del proprio consenso alla ricezione di email pubblicitarie e di aver ottenuto riscontro dal medesimo CAAF con la conferma dell’avvenuta cancellazione dei suoi dati personali, ma che – nonostante quanto sopra – egli aveva successivamente ricevuto una ulteriore email avente contenuto promozionale.
Preso atto del contenuto del reclamo, il Garante invitava il CAAF a fornire le proprie difese in ordine ai fatti rappresentati dal reclamante e di specificare il presupposto in base al quale poteva ritenersi legittimo il trattamento dati compiuto mediante l’invio della email promozionale in questione.
Il CAAF precisava che tutti i dati erano stai dal medesimo raccolti e conservati sulla base del consenso degli interessati e che questi ultimi potevano revocare in qualunque momento il proprio consenso anche tramite l’invio di una email.
Nel caso di specie, vi era stato un errore tecnico che aveva impedito la rimozione del nominativo del reclamante dalla mailing list che periodicamente veniva inviata agli iscritti. In particolare, a seguito della ricezione della email di revoca del consenso da parte del reclamante, il CAAF aveva provveduto ad eliminare il suo nominativo dal database che conteneva gli indirizzi di posta elettronica che erano utilizzati per inviare le email. Tuttavia, il sistema utilizzato all’epoca prevedeva una differenza temporale tra l’aggiornamento del database e l’aggiornamento della mailing list usata per l’invio della newsletter. Infatti, il database e la mailing lista avevano due tempi di aggiornamento differenti: prima veniva aggiornato il database immediatamente dopo aver ricevuto la email di revoca del consenso e successivamente veniva aggiornata la mailing list, la quale si aggiornava automaticamente confrontando i dati contenuti al suo interno con quelli contenuti nel database. Pertanto, secondo il CAAF, con tutta probabilità vi era stato un problema tecnico che aveva impedito alla mailing list di aggiornarsi (in linea con i dati contenuti nel database) e aveva quindi comportato l’invio della email in questione.
In altri termini, secondo il CAAF non vi era stato alcuna intenzionalità da parte del titolare del trattamento nell’invio della email, ma la natura dell’evento era da ritenersi colposa (in quanto, appunto, dovuta all’errore tecnico).
Infine, il CAAF faceva presente di aver modificato la procedura di revoca del consenso ed adottato un sistema in base al quale l’interessato poteva direttamente disiscriversi dalla newsletter tramite l’accesso ad uno specifico link.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
All’esito dell’istruttoria effettuata, è emerso che il CAAF ha dato riscontro all’istanza di cancellazione dei dati personali avanzata dal reclamante, dichiarando di aver rimosso i suoi dati dalla mailing list, ma detto titolare ha comunque successivamente continuato a trattare i dati del reclamante, mediante la loro conservazione e l’invio di una email, senza però che vi fosse una idonea base giuridica.
Infatti, nel caso di specie è emerso che il reclamante aveva richiesto la cancellazione dei propri dati, comunicando la propria revoca del consenso al trattamento. Mentre il titolare del trattamento, nonostante avesse confermato con apposita email di aver provveduto a revocare il consenso del primo, ha comunque conservato i suoi dati e gli ha inviato una email.
L’invio della email in questione, quindi, secondo il Garante, è avvenuto allorquando era già venuto meno il presupposto di legittimità del trattamento che era stato realizzato fino a quale momento.
Al momento della ricezione della revoca del consenso, infatti, è venuto meno la base giuridica legittimante il trattamento e pertanto quest’ultimo avrebbe dovuto immediatamente cessare.
In considerazione di ciò, ogni trattamento posto in essere dal titolare del trattamento successivo alla revoca del consenso da parte dell’interessato è avvenuto in violazione della volontà dell’interessato medesimo e quindi è illecito.
Infine, il Garante ha evidenziato che comunque il CAAF non aveva fornito alcuna prova è stato fornito a supporto di quanto dichiarato in ordine all’errore tecnico che avrebbe determinato l’ulteriore trattamento dei dati, successivamente all’accoglimento della revoca del consenso.
3. La decisione del Garante
In considerazione di tutto quanto sopra, quindi, il Garante ha ritenuto che l’email inviata dal CAAF al reclamante successivamente alla revoca del consenso, da parte di quest’ultimo, costituisce un illecito trattamento dati posto in essere dal titolare allorquando non sussisteva più l’originario presupposto che legittimava il trattamento e in assenza di qualunque ulteriore base giuridica.
In ragione di tale illiceità il Garante ha deciso di adottare nei confronti del CAAF una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione della sanzione pecuniaria, il Garante ha valutato, da un lato, la rilevante gravità della violazione posta in essere dal CAAF (tenuto conto del fatto che la violazione ha riguardato le disposizioni relative ai presupposti di legittimità del trattamento) e, dall’altro lato, ha preso in considerazione che non vi era alcun precedente a carico del titolare del trattamento nonché il grado di cooperazione fornito da quest’ultimo durante il procedimento e la misure dal medesimo adottate per evitare il ripetersi di situazioni analoghe.
In conclusione, quindi, il Garante, tenuto altresì conto delle condizioni economiche del titolare del trattamento (al fine di irrogare una sanzione che fosse effettiva, proporzionale e dissuasiva), ha comminato al CAAF una sanzione amministrativa pecuniaria dell’importo di €.30.000,00 (trentamila).
Volume consigliato
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento