Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9282 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Ecommerce 11.12.2015    Pdf    Appunta    Letti    Post successivo  

Profilazione, newsletter, ecommerce, soft spam e consensi: sanzioni del Garante

Un caso emblematico trattato con rigorosa e puntuale applicazione della normativa vigente.
Spataro

 

Indice generato dai software di IusOnDemand
su studi di legal design e analisi testuali e statistiche

[

[doc. web n. 4487559] Provvedimento n. 605 del 18 novembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

VISTI gli artt. 41 della Costituzione e 16 della Carta dei diritti fondamentali dell'Unione Europea, riguardo alla libertà d'impresa e di iniziativa economica;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»), e in particolare le disposizioni di cui agli artt. 11,13, 23, 130, 37, 38, 161, 162, 163;

VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348);

TENUTO CONTO che l'Ufficio di questa Autorità, a seguito di una segnalazione relativa al sito www.....it con la quale veniva lamentato che, per poter acquistare i biglietti per un evento, risultava necessario dare il consenso al trattamento dei dati per la finalità promozionale, ha avviato un'istruttoria preliminare nell'ambito della quale ha effettuato un accertamento sul medesimo sito,  riscontrando la sussistenza della problematica segnalata; e che pertanto ha deciso di effettuare un'attività di verifica sulla liceità del trattamento dei dati personali effettuati, anche alla luce delle Linee guida sopra citate, dal titolare del trattamento indicato nel testo dell'informativa rilasciata, ossia ... S.p.A.;

CONSIDERATO che nei giorni 21 e 22 ottobre 2014, questa Autorità, avvalendosi del personale dell'Ufficio e del Nucleo Speciale Privacy della Guardia di Finanza, ha condotto un accertamento ex art. 157 del Codice presso la sede legale e operativa della detta società situata in ..., via di ...;

RILEVATO che in occasione dell'accertamento di cui sopra (cfr. relativo verbale del 21 ottobre) è emerso che ... S.p.A. "… si occupa di servizi di biglietteria per eventi teatrali, sportivi, concerti, parchi ed eventi vari", risultando essere una delle principali società del settore, ed effettua e-commerce di prodotti di vario tipo (es.: maglie sportive, articoli di cancelleria) relativi a marchi anche celebri; e che la detta società procedeva alla raccolta dei dati personali degli interessati attraverso 3 propri siti web: www.....it/com, www.....it/com e www.....com,  quest'ultimo operativo in varie versioni in lingua straniera destinate ad utenti di vari paesi UE ed extra UE;

CONSIDERATO che, fra i menzionati rilievi, con specifico riferimento ai siti www.....it e www.....it/com, è risultato che ... S.p.A., sul form di registrazione ai medesimi siti, raccoglieva i dati personali degli utenti chiedendo loro un consenso per il trattamento preselezionato e unico  per varie finalità, fra cui quelle di marketing e comunicazione a soggetti terzi per analoghe finalità, anche se prevedendo la possibilità per l'utente di deselezionare il predetto consenso e quindi poter procedere comunque alla registrazione al sito (cfr. verbale 21 ottobre cit.);

CONSIDERATO che, con specifico riferimento al form di registrazione al sito www.....com, è risultato che (cfr. memoria integrativa del 7 novembre cit.) la società non indicava nell'informativa resa agli utenti alcune attività effettivamente svolte con i dati raccolti mediante detto sito, peraltro particolarmente invasive per il diritto alla protezione dei dati degli interessati (cioè: invio di comunicazioni promozionali, per conto proprio e per conto terzi, mediante e-mail; profilazione; comunicazione dei dati a soggetti terzi per finalità promozionali); e che raccoglieva  tali dati richiedendo un consenso preselezionato e unico al trattamento dei dati a fronte delle suindicate diverse attività;

CONSIDERATO, con particolare riguardo all'attività di profilazione, che la società ha dichiarato (cfr. verbale del 22 ottobre 2014, come confermato nella citata memoria integrativa) di fare uso, per il portale ..., di un software finalizzato all'invio di newsletter personalizzate, utilizzando i dati  "relativi agli ordini effettuati dai clienti" e "i dati di navigazione degli stessi sul sito", nonché di una piattaforma destinata all'invio di e-mail agli utenti "sulla base dei prodotti inseriti nel proprio carrello e il cui ordine non è stato finalizzato"; e considerato peraltro che, per tale attività, è risultato che la società non ha provveduto ad adempiere all'obbligo di notificazione disciplinato dagli artt. 37 e 38 del Codice;

CONSIDERATO che, con particolare riguardo all'attività di comunicazione a terzi, è emerso che la società effettivamente comunica a un soggetto terzo (Terzo Spain S.L.) i dati raccolti sui propri siti con le modalità di cui sopra per lo svolgimento di finalità promozionali nell'ambito di un accordo commerciale di "coobranding" (v. in particolare citata memoria integrativa del 7 novembre 2014);

VISTO  il disposto dell'art. 23, comma 3, e dell'art. 130, commi 1 e 2, del Codice, secondo cui di regola (fatta salva limitate eccezioni come il c.d. "soft spam", di cui all'art. 130, comma 4, del Codice relativamente alle e-mail  promozionali destinate ai propri clienti adeguatamente informati e finalizzate a reclamizzare prodotti o servizi analoghi a quelli già acquistati), il trattamento di dati personali da parte dei privati per finalità diverse da quella di erogazione del servizio (o altra finalità di tipo contrattuale) è ammesso solo dopo la previa acquisizione di un consenso dell'interessato espresso, libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto, come ribadito dalle citate "Linee guida in materia di attività promozionale e contrasto allo spam";

CONSIDERATO che, sulla base degli elementi e dei documenti acquisiti, compresa la memoria integrativa della società inviata il 7 novembre 2014,  a scioglimento delle riserve formulate in occasione dell'accertamento in sede, il Nucleo Speciale Privacy ha provveduto a contestare alla società le relative sanzioni;

RILEVATO che sia l'attività di invio di comunicazioni promozionali per conto proprio e/o per conto terzi, sia l'attività di profilazione dei dati personali raccolti, sia anche l'eventuale comunicazione dei dati raccolti a soggetti terzi per le loro finalità promozionali, in quanto ciascuna di esse costituisce una diversa attività di trattamento dei dati, necessitano di un previo distinto consenso come sopra individuato;

CONSIDERATO peraltro che, in occasione del citato successivo accertamento effettuato d'ufficio sui tre siti in questione il 9 e il 10 novembre 2015,  non è risultato accessibile il sito www.....it/com ed è emerso che la società, in relazione ai siti www.....it/com e www.....com, ha recepito i rilievi oggetto di specifica contestazione da parte del Nucleo Speciale Privacy, con riferimento sia all'informativa resa ai sensi dell'art. 13 del Codice sia all'acquisizione del consenso ex art. 23 del Codice nell'ambito dei vari form di raccolta dei dati degli utenti; e che inoltre la società risulta aver provveduto in data 22 luglio 2015 ad adempiere all'obbligo di notificazione di cui sopra;

CONSIDERATO anche che dal suddetto accertamento è risultato, tuttavia, che, riguardo all'informativa rilasciata dalla società nei form di registrazione al sito www.....com, la società non indica i soggetti terzi né specifica la/e categoria/e economica/e o merceologica/e di appartenenza di tali terzi, ai quali sono comunicati o potrebbero essere comunicati i dati dalla società per lo svolgimento di finalità promozionali, come invece previsto dalle Linee Guida del 4 luglio 2013 e dal legislatore stesso, all'art. 13, comma 1, lett. d) del Codice, all'evidente fine di consapevolizzare il più possibile gli interessati che rilascino il consenso per la comunicazione a terzi sull'effettivo ambito di circolazione dei loro dati;

RITENUTO necessario che ... S.p.A. avvisi Terzo Spain S.L. e gli altri soggetti terzi -ai quali i dati personali raccolti sui tre siti, senza un consenso specifico per la comunicazione a terzi, siano stati eventualmente comunicati e/o ceduti per finalità promozionali- che non possono utilizzare i dati in questione per tali finalità se non dopo aver acquisito uno specifico consenso degli interessati;

RILEVATO altresì che la società ha dichiarato in occasione dell'accertamento in sede, di non aver stabilito alcun tempo di conservazione dei dati personali degli utenti raccolti tramite i suddetti siti web e rilevata la significativa consistenza dei data base relativi ai 3 siti suddetti (183.991 su ....it/com; 108.268 su www.....com e 14.757 su www.....it/com: v. verbale 22 ottobre 2014); considerato, tuttavia, che in base all'art. 11, comma 1, lett. e) del Codice, i dati personali oggetto di trattamento devono essere "conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati";

RITENUTO al riguardo di dover contemperare il diritto alla protezione dei dati personali degli interessati con la libertà d'impresa (cfr. artt. 41 Cost. e 16 della Carta dei diritti fondamentali dell'Unione Europea), e quindi ritenuto necessario prescrivere alla società di prevedere e attuare, nell'ambito della sua autonomia organizzativa, tenendo conto delle legittime finalità perseguite nonché della natura e tipologia dei dati trattati, uno o più tempi di conservazione dei dati raccolti, alla scadenza dei quali la società dovrà provvedere all'immediata cancellazione dei dati degli utenti o alla loro anonimizzazione permanente;

CONSIDERATO che, tenuto conto delle modalità di raccolta utilizzate nonché della rilevante quantità di dati trattati e conservati, le attività di trattamento poste in essere dalla società presentano carattere sistematico;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati personali o di disporne il blocco e di adottare altresì gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA la necessità di adottare nei confronti di ... S.p.A.,  ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice, un provvedimento di divieto dei trattamenti di dati raccolti sui tre siti www.....it/com, www.....it/com e www.....com per le seguenti finalità (invio di comunicazioni promozionali, per conto proprio e per conto terzi; profilazione; comunicazione dei dati a soggetti terzi per loro finalità promozionali), senza la previa acquisizione di un consenso dell'interessato espresso, libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto, ex artt. 13, 23 e 130 del Codice;

RITENUTO necessario altresì, ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c) del Codice, adottare nei confronti di ... S.p.A. un provvedimento prescrittivo volto ad assicurare la piena conformità al Codice dei trattamenti dei dati personali raccolti on line o mediante qualunque altro strumento che la società eventualmente deciderà di utilizzare;

CONSIDERATO che, come sopra detto, le violazioni come sopra indicate sono state oggetto delle specifiche contestazioni effettuate a ... S.p.A. da parte del Nucleo Speciale Privacy con il citato verbale del 30 gennaio e quindi ritenuto di non avviare un ulteriore autonomo procedimento sanzionatorio nei confronti della medesima;

CONSIDERATO  peraltro che, ai sensi dell'art. 11, comma 2, del Codice, i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del divieto o delle prescrizioni impartite con il medesimo provvedimento, in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATO che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, dichiara illecito e vieta a ... S.p.a., come sopra individuata, l'ulteriore trattamento dei dati raccolti sui tre siti www.....it/com, www.....it/com e www.....com per le finalità di invio di comunicazioni promozionali (per conto proprio e per conto terzi), profilazione, nonché comunicazione dei dati a soggetti terzi per loro finalità promozionali, senza la previa acquisizione di un consenso dell'interessato espresso, libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto, ex artt. 13, 23 e 130 del Codice;

b) ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, prescrive a  ... S.p.a. di adottare le  misure necessarie e opportune al fine di rendere i trattamenti dei dati personali conformi alle disposizioni del Codice, e in particolare:

1. di integrare l'informativa resa ex art. 13 del Codice nel form di registrazione al sito www.....com, o mediante qualunque altro strumento di raccolta di dati personali che la società eventualmente deciderà di utilizzare, indicando i singoli soggetti terzi, oppure la/e categoria/e economica/e o merceologica/e di appartenenza di tali terzi, ai quali intenda comunicare i dati personali raccolti per le loro finalità promozionali;

2. di avvisare la società Terzo Spain S.L.  e gli altri soggetti terzi, ai quali i dati personali raccolti, senza un consenso specifico per la comunicazione a terzi, siano stati eventualmente comunicati e/o ceduti per le loro proprie finalità promozionali, che non possono utilizzare i dati in questione per tali finalità se non dopo aver acquisito uno specifico consenso degli interessati;

3. di prevedere e attuare, nell'ambito della sua autonomia organizzativa, tenendo conto delle legittime finalità perseguite nonché della natura e tipologia dei dati trattati, uno o più tempi di conservazione dei dati raccolti, alla scadenza dei quali la società dovrà provvedere all'immediata cancellazione dei dati degli utenti o alla loro anonimizzazione permanente;

c) ai sensi dell'art. 157 del Codice, richiede a ... S.p.a.  di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel presente provvedimento e di fornire comunque riscontro entro sessanta  giorni dalla ricezione dello stesso.

Si ricorda che il mancato riscontro alla suindicata richiesta ex art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice e che, ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 18 novembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia


11.12.2015 Spataro
Garante


False recensioni: in attesa dei testi delle decisioni
OTA
Ecommerce: AGCM indaga sul posizionamento degli alberghi partner in Booking
AGCM: TikTok non raccomandi video di autolesionismo
PubblicitĂ , comparatori: sanzione per omesse informative
AIRBNB, il Consiglio di Stato e la Procura di Milano
In atto il DSA - Digital Service Act
EDPS Opinion 39/2023 on the Proposal for a Regulation on payment services in the internal market and the Proposal for a Directive on payment services and electronic money services in the Internal Market
Provvedimento del 27 aprile 2023 [9902472] - fidelity card, newsletter, social, misure di sicurezza e gruppo Benetton
128 Ecommerce e privacy: ecco perche' il caso Amazon riguarda chiunque vende online, dall'infoprodotto ai vini



Segui le novità in materia di Ecommerce su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.29