L’invio di una comunicazione per acquisire il consenso per finalità promozionali ha essa stessa natura promozionale. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy
Indice
1. I fatti: comunicazione promozionale
Una signora inviava un reclamo al Garante per la protezione dei dati personali in cui lamentava di aver ricevuto una email promozionale da parte di un hotel con il quale egli non aveva mai avuto alcun rapporto e che aveva conseguentemente esercitato il proprio diritto di conoscere l’origine dei dati e di averne copia, ma l’hotel non aveva fornito alcun riscontro.
A seguito della richiesta di informazioni prima da parte del Garante e poi della comunicazione del procedimento nei suoi confronti, l’Hotel si difendeva sostenendo che i dati erano stati acquisiti in quanto il reclamante era stato in precedenza cliente di un altro albergo che attualmente era condotto dalla reclamata (e quindi ne aveva acquisito i dati dal medesimo conservati) e, dopo la smentita da parte del ricorrente di essere stato cliente anche di detto albergo, l’hotel affermava di poter ipotizzare che i dati fossero stati rilasciati dal reclamante ad un gruppo societario che aveva gestito in passato il vecchio hotel unitamente ad altri numerosi alberghi.
A fronte della richiesta del Garante di produrre i documenti attestanti l’origine dei dati e della relativa data di acquisizione, l’hotel si limitava a rispondere di aver provveduto alla cancellazione dei dati stessi, mentre glissava totalmente sul motivo per cui l’hotel non avesse dato alcuna risposta alla richiesta del reclamante di conoscere l’origine dei dati (cioè la richiesta di esercizio dei diritti che era stata presentata dal reclamante prima di depositare il reclamo al Garante).
Soltanto in una successiva memoria difensiva, l’hotel sosteneva che la email inviata al reclamante non avesse natura promozionale in quanto sarebbe stata finalizzata soltanto ad acquisire il consenso del reclamante a ricevere future proposte commerciali (e a conforto della propria difesa, citava una sentenza del Tribunale di Roma che riteneva ammissibile una siffatta tipologia di prima comunicazione). Mentre, per quanto concerne il mancato riscontro alla richiesta di esercizio dei diritti da parte del reclamante, l’hotel, nella predetta memoria, sosteneva di non aver mai ricevuto la relativa email del reclamante. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
51.20 €
2. La valutazione del Garante
In primo luogo, il Garante ha analizzato la email oggetto di contestazione ed ha ritenuto che la stessa avesse una finalità inequivocabilmente promozionale in quanto sollecitava l’acquisto di un servizio per il tramite del riconoscimento di alcuni sconti e bonus a favore del destinatario.
In secondo luogo e più in generale, il Garante ha ritenuto non condivisibile comunque la tesi difensiva del reclamante circa la legittimità dell’invio di una prima email volta ad acquisire il consenso per l’invio di future email promozionali, in quanto l’invio di una comunicazione per acquisire il consenso per finalità promozionali ha ella stessa natura promozionale: pertanto è inammissibile.
A conferma di ciò, il Garante ha ricordato che la sentenza del tribunale di Roma citata dal reclamante era stata cassata dalla Cassazione, sostenendo proprio quanto sopra affermato.
Nel caso di specie, l’hotel non ha fornito la prova di aver acquisito il consenso del reclamante all’invio della comunicazione in questione, né ha dimostrato che egli fosse stato cliente dell’hotel medesimo.
Per quanto concerne, invece, il mancato riscontro alla richiesta di esercizio dei diritti da parte del titolare de trattamento, il Garante ha evidenziato come l’hotel si sia limitato a dichiarare, soltanto in maniera generica, di non aver ricevuto l’email del reclamante (contenente la richiesta di conoscere l’origine dei dati e di averne copia) e lo ha fatto soltanto in una memoria difensiva nel corso del procedimento (mentre nelle prime interlocuzioni che aveva avuto con il Garante non aveva mai fatto cenno alla mancata ricezione).
Inoltre, nonostante l’intervento del Garante, l’hotel non ha comunque mai fornito alcun riscontro alla richiesta del reclamante circa l’origine dei dati.
Potrebbe interessarti anche: Titolare del trattamento dati in campagna promozionale
3. La decisione del Garante
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la condotta dell’hotel, consistente nell’invio della comunicazione promozionale non richiesta e nel mancato riscontro alla richiesta di accesso ai dati da parte del reclamante, configuri una duplice violazione della normativa in materia di protezione dei dati personali.
Conseguentemente, il Garante ha ritenuto di dover comminare al titolare del trattamento una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione della predetta sanzione, il Garante ha valutato in primo luogo alcune circostanze aggravanti. In particolare, il carattere gravemente colposo della violazione, in quanto la società non è stata in grado di documentare l’origine dei dati del reclamante e non gli ha mai fornito alcun riscontro, dimostrando così la propria negligenza nel trattare i dati personali. Il grado di responsabilità del titolare, che ha dimostrato totale incapacità di fornire adeguato riscontro alla richiesta di accesso ai dati del reclamante, in quanto ha cancellato tutti i suoi dati senza che ciò le fosse stato richiesto, rendendo così impossibile documentarne l’origine. Infine, lo scarso grado di cooperazione con il Garante, fornendo risposte imprecise, contraddittorie e non documentate.
In secondo luogo, il Garante ha valutato le circostanze attenuanti, consistenti nel numero di soggetti coinvolti (limitato ad uno) e nel livello di danno arrecato (consistente nel mero disturbo di ricevere una email indesiderata, oltre a non avere contezza dell’origine dei dati), nonché nell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento.
In conclusione, valutando tutti detti elementi, il Garante ha deciso di quantificare la sanzione pecuniaria nell’importo di €. 10.000 (diecimila).
Scrivi un commento
Accedi per poter inserire un commento