A distanza di otto anni dall’adozione del Codice in materia di protezione dei dati personali, le aziende continuano a considerare gli adempimenti privacy come una seccatura, o nel migliore dei casi come una semplice formalità. In particolare una breve navigata in rete ci fa rendere conto come gli adempimenti riguardanti le informative da pubblicare sui siti web, siano effettuati in modo molto approssimativo. Questa “leggerezza” da parte dei Titolari del trattamento li espone non solo al rischio di sanzioni da parte del Garante, ma anche alla diffidenza dei potenziali clienti che in genere tendono a prediligere i siti web che forniscono informazioni chiare, specifiche ed in maniera trasparente. In alcuni casi i due fattori possono essere addirittura collegati tra loro, così come è accaduto per un recente provvedimento del Garante.
Questi i fatti, lo scorso agosto 2010 un cittadino si collegava al sito www.ambientelavoro.it per l’acquisto di un biglietto per una manifestazione, tuttavia in fase di complilazione del form di registrazione, leggendo l’informativa privacy, veniva a conoscenza del fatto che i dati personali forniti sarebbero stati riportati “per fini promozionali sul sito e negli stampati” relativi alla manifestazione. Non essendo prevista la possibilità di esprimere uno specifico consenso per la ricezione di materiale pubblicitario, il cittadino ha pensato bene di inviare una segnalazione all’Autorità Garante, segnalando la circostanza.
A seguito della segnalazione il Garante avviava un’istruttoria dalla quale emergeva che effettivamente le informative pubblicate sui siti della società, prevedevano un unico consenso comprendente sia l’iscrizione alla manifestazione sia l’autorizzazione al trattamento dei dati per finalità statistiche e promozionali.
Sulla base dell’art. 23 del Codice Privacy, con il quale si dispone che il consenso al trattamento deve essere informato, libero, espresso, specifico e documentato, il Garante ha ritenuto che nel caso specifico la libertà nel conferimento del consenso fosse stata limitata. In sostanza l’utente non poteva negare il proprio consenso relativamente alle finalità promozionali, senza dover rinunciare al conseguimento della prestazione richiesta (in questo caso l’acquisto del biglietto).
Il Garante ha inoltre rilevato l’inidoneità dell’informativa in quanto non rispondente a quanto disposto dall’art. 13 del Codice Privacy, e la conseguente illiceità del trattamento dei dati, disponendo il divieto del trattamento dei dati personali già acquisiti nonché l’adozione di misure necessarie e opportune, tramite il rilascio di un’idonea informativa e l’acquisizione di un consenso libero, specifico e documentato, al fine di rendere il detto trattamento dei dati personali conforme alle dette disposizioni del Codice.
Prendendo spunto da questo caso in particolare, ci si può rendere conto di quante siano le aziende attualmente esposte al medesimo rischio di divieto del trattamento, che in alcuni casi potrebbe avere anche conseguenze gravi per il normale svolgimento dell’attività aziendale. Troppe volte si trascurano le conseguenze derivanti dalla mancata osservanza della normativa in materia di trattamento dei dati personali tramite web, oppure gli adempimenti quali le informative, sono delegate alle web agencies, le quali tuttavia tendono ad inserire testi standard senza tenere in considerazione le specifiche caratteristiche dei singoli trattamenti.
Registro dei provvedimenti
n. 112 del 23 marzo 2011
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
VISTA la segnalazione dell’ing. Maurizio Sarni del 28 agosto 2010, con la quale questi ha lamentato che la società ModenaFiere srl (di seguito: “la società”), afferente al gruppo BolognaFiere S.p.A., nell’informativa ex art. 13 del Codice relativa al form di registrazione del sito www.ambientelavoro.it, rilasciata ai fini della vendita on line di un biglietto per la manifestazione “Ambiente Lavoro Convention” del 6-7 ottobre 2010, avvisava che i dati personali forniti sarebbero stati riportati “per fini promozionali sul sito e negli stampati” relativi alla detta manifestazione;
VISTA la nota del 14 dicembre 2010, in risposta a una richiesta di informazioni di questa Autorità, nella quale la società ha ammesso di aver rilasciato “per un mero refuso elettronico” la detta informativa e ha prodotto all’Ufficio un nuovo testo messo a disposizione degli interessati per il tramite della società Best Union incaricata della vendita dei biglietti mediante la rete Internet;
RILEVATO che il nuovo testo dell’informativa prevede che i dati forniti saranno utilizzati “per fini statistici e promozionali”, e che nel modulo di registrazione allegato alla suindicata nota di risposta è previsto un consenso unico comprendente sia l’iscrizione alla convention organizzata dalla società sia l’autorizzazione al trattamento dei dati personali per le suddette finalità statistiche e promozionali;
VISTO che, in occasione dell’istruttoria avviata sulla detta segnalazione, l’Ufficio ha condotto un accertamento anche su un ulteriore sito utilizzato dalla medesima società (www.modenafiere.it), rilevando che questa, nel form relativo all’area “contatti”, non richiede il consenso espresso e distinto per le diverse finalità di diffusione e pubblicazione di dati tramite il sito medesimo, periodici e riviste specializzate, per quella di trasferimento dei dati personali all’estero, nonché per la finalità – emergente dal detto form – di inserimento dei dati raccolti in “liste per l’invio di materiale informativo, pubblicitario e promozionale”;
VISTO l’art. 23, comma 3, del Codice, il quale prevede invece che il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell’interessato libero, informato e specifico, con riferimento a trattamenti chiaramente individuati, e da documentare per iscritto;
CONSIDERATO, inoltre, che, come già rilevato da questa Autorità (provv. 22 febbraio 2007, doc. web n. 1388590; provv. 12 ottobre 2005, doc. web n. 1179604; provv. 3 novembre 2005, doc. web n. 1195215; provv. 10 maggio 2006, doc. web n. 1298709 in www.garanteprivacy.it; provv. 15 luglio 2010, doc. web n. 1741998), non può definirsi “libero”, e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l’interessato “debba” prestare quale condizione per conseguire una prestazione richiesta, e che gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso -allorché richiesto per legge- per ciascuna distinta finalità perseguita dal titolare (cfr. provv. 24 febbraio 2005, punto 7, in www.garanteprivacy.it, doc. web n. 1103045);
RILEVATA l’inidoneità dell’informativa ex art. 13 del Codice, pubblicata sul sito www.modenafiere.it, che non indica la finalità di invio di comunicazioni promozionali presente invece nel suindicato form di registrazione, né specifica in modo chiaro e preciso i soggetti o le categorie di soggetti situati all’estero cui i dati personali raccolti vengono comunicati;
CONSIDERATO che le attività di trattamento dei dati, come sopra individuate, effettuate dalla società senza il relativo consenso specifico e un’idonea informativa costituiscono quindi un trattamento illecito di dati;
CONSIDERATO, inoltre, che dal sito www.ambientelavoro.it utilizzato dalla società emerge che questa ha in programma altri eventi analoghi alla manifestazione “Ambiente Lavoro Convention” dell’ottobre 2010;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d’ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
RILEVATA la necessità di adottare nei confronti della società un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato alle attività di tipo statistico, di invio di comunicazioni promozionali, di diffusione di dati personali sul sito www.modenafiere.it, su periodici e riviste specializzate, nonché di trasferimento dei dati personali all’estero, in assenza di un’inidonea informativa e senza l’acquisizione del necessario consenso libero, specifico e documentato degli utenti dei suindicati siti, i quali si siano registrati e tuttora si registrino ai medesimi;
RILEVATA, altresì, la necessità di adottare nei confronti della società un provvedimento prescrittivo ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice;
TENUTO CONTO che, ai sensi dell’art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni, e che, ai sensi dell’art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;
RILEVATO, inoltre, che l’art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;
RISERVATA, con autonomo procedimento, la verifica dei presupposti per contestare al predetto titolare del trattamento le eventuali violazioni amministrative di competenza di questa Autorità;
CONSIDERATO che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
RELATORE il dott. Giuseppe Fortunato;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara illecito il trattamento dei dati personali effettuato da ModenaFiere s.r.l., con sede legale in Modena, Viale Virgilio, n. 58/B, tramite l’invio di comunicazioni promozionali, l’attività statistica, la diffusione di dati personali sul sito www.modenafiere.it, su periodici e riviste specializzate, nonché tramite il trasferimento dei dati personali all’estero, in assenza di un’idonea informativa ex art. 13 del Codice e di un consenso libero, specifico e documentato degli interessati ex art. 23 del Codice;
b) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Modenafiere s.r.l. l’ulteriore trattamento dei dati personali già acquisiti per le finalità suindicate, effettuato dalla medesima senza aver rilasciato un’idonea informativa e aver ottenuto il suddetto consenso;
c) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a Modenafiere s.r.l. – qualora quest’ultima intenda continuare a inviare comunicazioni promozionali – di adottare le misure necessarie e opportune, tramite il rilascio di un’idonea informativa e l’acquisizione di un consenso libero, specifico e documentato, al fine di rendere il detto trattamento dei dati personali conforme alle dette disposizioni del Codice;
d) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive a Modenafiere s.r.l. – qualora quest’ultima intenda continuare a raccogliere on line dati personali degli utenti – di modificare:
1) il form di raccolta dei dati personali utilizzato per il sito www.ambientelavoro.it o altro eventuale sito web, previsto per l’iscrizione a eventi organizzati dalla medesima società, inserendo la richiesta agli interessati di un preventivo consenso distinto e facoltativo per ciascuna delle finalità indicate nell’informativa ex art. 13 rilasciata dalla società (promozionale e statistica);
2) il form di raccolta dei dati personali sul sito www.modenafiere.it, all’area “contatti”, indicando, nell’informativa ex art. 13 del Codice, le finalità del trattamento dei dati personali con riferimento a tutte le diverse tipologie di attività svolte dalla società stessa, e – in modo chiaro e preciso – i soggetti o le categorie di soggetti situati all’estero cui i dati personali raccolti vengono trasferiti, e inserendo la richiesta agli interessati di un preventivo consenso distinto e facoltativo per ciascuna delle finalità perseguite in relazione al trattamento dei dati degli interessati.
Avverso il presente provvedimento, ai sensi dell’art. 152 del Codice, è possibile proporre opposizione con ricorso all’autorità giudiziaria ordinaria, e precisamente al tribunale del luogo ove risiede il titolare del trattamento entro il termine di trenta giorni dalla data di comunicazione del medesimo provvedimento. Si ricorda che l’opposizione non sospende l’esecuzione del provvedimento (v. art. 152, comma 5, Codice).
Roma, 23 marzo 2011
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
De Paoli
Scrivi un commento
Accedi per poter inserire un commento