È illecito l’uso nell’informativa privacy di termini ambigui che inducano l’interessato a pensare che il mancato consenso gli impedirebbe di fruire dei servizi forniti dal titolare del trattamento.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Il Garante per la protezione dei dati personali riceveva una segnalazione in cui si riferiva che una azienda di trasporto pubblico locale avrebbe utilizzato un modulo per la sottoscrizione dell’abbonamento del servizio di trasporto dalla medesima erogato che non era conforme alla disciplina in materia di privacy.
In particolare, secondo il segnalante, nel modulo sottoposto ai potenziali utenti del servizio di trasporto che manifestavano l’intenzione di sottoscrivere un abbonamento con l’azienda, la prestazione del consenso per alcune finalità di trattamento dei dati era prospettata come obbligatoria, in quanto era previsto che il mancato consenso comporta l’impossibilità per l’azienda di effettuare il servizio e quindi per l’utente di poterne usufruire.
Il garante richiedeva all’azienda di fornire chiarimenti in ordine alla segnalazione pervenuta. L’azienda sosteneva di essere una società per azioni a partecipazione pubblica avente ad oggetto lo svolgimento del servizio di trasporto e confermava che gli utenti, che richiedevano il rilascio di un abbonamento, dovevano rilasciare una serie di dati personali riportati nel relativo modulo. Il predetto modulo, però, permetteva all’utente di acconsentire o di non acconsentire al trattamento dei dati personali ed inoltre era consegnata all’utente, in modo che questi potesse verificare le proprie scelte in merito al trattamento dei dati ed eventualmente modificarle in caso di errore. In secondo luogo, l’azienda sosteneva che, anche qualora l’espressione impiegata nel predetto modulo fosse stata poco chiara e passibile di essere fraintesa, comunque l’azienda non voleva imporre agli utenti un consenso obbligatorio al trattamento dei dati per poter ottenere l’abbonamento al servizio di trasporto, né tantomeno vi erano stati casi di rifiuto rilascio dell’abbonamento a fronte di un diniego dell’utente al trattamento dei dati personali.
Per quanto riguarda l’utilizzo dei dati personali rilasciati dagli utenti e ai quali si riferiva il consenso obbligatorio oggetto della segnalazione, l’azienda sosteneva che i predetti dati erano stati utilizzati dalla medesima soltanto per compiere interviste telefoniche volte a verificare la soddisfazione degli utenti, così come richiesto dal contratto in essere con l’agenzia pubblica che le aveva affidato il servizio. In particolare, erano stati contattati, per le finalità di cui sopra, un numero complessivo di circa 2000 utenti. Inoltre, l’azienda aveva inviato a circa 40.000 utenti degli SMS per informarli di eventuali scioperi o particolari modifiche al servizio di trasporto.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. Termini ambigui per usufruire di un servizio nell’informativa privacy: la valutazione del Garante
Preliminarmente, il garante ha ricordato che il titolare del trattamento deve utilizzare delle misure idonee per fornire all’interessato, prima che inizi il trattamento, tutte le informazioni richieste del regolamento europeo per la protezione dei dati personali, in maniera concisa, trasparente, intellegibile e facilmente accessibile, nonché con un linguaggio semplice e chiaro.
Detta disciplina e prevista dal principio di illiceità, correttezza e trasparenza che grava sul titolare del trattamento.
Nel caso di specie, il garante ha ritenuto che il modulo utilizzato dall’azienda per la richiesta da parte degli utenti dell’abbonamento al servizio di trasporto, rimandava ad un’informativa sul trattamento dei dati consegnata direttamente ai clienti – insieme al predetto modulo – che non indica i dati di contatto del responsabile della protezione dati, né la base giuridica del trattamento per le finalità perseguite, non menziona gli eventuali destinatari dei dati personali, non indica il periodo di conservazione dei dati personali e non menziona i diritti degli interessati né l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento.
In secondo luogo, il garante ha rilevato che nella suddetta informativa privacy viene espressamente previsto che “il conferimento dei dati è obbligatorio per il rilascio da parte dell’azienda dell’abbonamento”, senza precisare quali siano i dati effettivamente necessari per poter fruire dell’abbonamento e quali invece siano facoltativi perché riferiti ad altre finalità di trattamento.
Inoltre, all’interno del modulo è presente altresì la frase “il mancato consenso al trattamento dei dati per le attività indicate nelle lettere B e C comporterà l’impossibilità per l’azienda di effettuarle e quindi l’impossibilità di accedere ai servizi sopraindicati”. Secondo il garante, detta frase risulta essere poco chiara e fuorviante degli interessati, in quanto, il riferimento ai “servizi”, lascia intendere che il consenso al trattamento dei dati personali per le suddette finalità è necessario per poter sottoscrivere l’abbonamento.
A tal proposito, il garante aggiunge che l’azienda non ha neanche evidenziato agli interessati, in maniera chiara e separata dalle altre informazioni, il diritto di opporsi al trattamento per finalità di marketing diretto.
Infine, il garante ha accertato che l’informativa, con riferimento alla possibilità per l’azienda di inviare agli utenti SMS relativamente al servizio fornito, è estremamente generica, in quanto non sono indicate in maniera chiara in quali circostanze l’azienda può inviare gli SMS.
3. La decisione del Garante
In considerazione di tutto quanto sopra, secondo il garante l’informativa non rispetta il principio di trasparenza imposto dalla normativa in materia di privacy.
Infatti, nonostante la presenza del consenso rilasciato dagli interessati, il garante ha ritenuto che il consenso può ritenersi validamente prestato solo se l’espressione di una volontà libera, specifica, informata e inequivocabile di quest’ultimo. Mentre nel caso di specie gli interessati avevano fornito il loro consenso a seguito di un’informativa e riportata in maniera ambigua e poco trasparente la comunicazione che il mancato consenso al trattamento dei dati per l’attività indicate nelle lettere B e C comporterà l’impossibilità per l’azienda di effettuarle e quindi l’impossibilità di accedere ai servizi forniti. Tale ambiguità, quindi, non rendeva chiaro all’interessato se, con il termine servizi, si faceva riferimento ai servizi di trasporto rese dall’azienda oppure soltanto alle attività promozionali informative indicate nelle citate lettere B e C del modulo. In altri termini, gli interessati potrebbero essere stati indotti a ritenere che il rilascio del consenso al trattamento dei dati per le suddette finalità fosse necessario per poter fruire dei servizi di trasporto forniti dall’azienda.
Pertanto, consenso prestato dagli interessati non può ritenersi come liberamente prestato e quindi rispettoso nei sopra richiamati principi previsti dalla normativa privacy.
Conseguentemente, il garante ha imposto all’azienda il divieto di trattare i dati personali degli interessati per finalità di marketing e invio di comunicazioni sullo stato del servizio di trasporto, sulla base dei consensi acquisiti maniera invalida e ha ingiunto alla medesima di fornire agli interessati una nuova informativa sul trattamento dei dati personali, rendendola disponibile sul sito Web istituzionale, presso la sede e i punti vendita, nonché consegnandola a ciascun interessato alla prima occasione utile di contatto.
In secondo luogo, il garante ha ritenuto di comminare una sanzione pecuniaria a carico dell’azienda, che, tenendo conto dell’elevato numero di soggetti interessati e dell’esteso arco temporale in cui è stata usata una modulistica non in linea con la normativa privacy, ha ritenuto di quantificare in €. 50.000 (cinquantamila).
Scrivi un commento
Accedi per poter inserire un commento