Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte. Scarica l'app da o da



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Caffe20  Dizionario  App  Video Demo · Accesso · Iscrizioni    
             

  


Gli adempimenti privacy per la tua attività
adv iusondemand
Newsletter 24.07.2019    Pdf    Appunta    Letti    Post successivo  

Newsletter e consensi - il provvedimento

La Società non aveva richiesto agli interessati, limitatamente al modulo a marchio “alfa”, un consenso specifico per le finalità promozionali, bensì un unico consenso per tali finalità nonché per finalità diverse e riconducibili alla gestione contrattuale e paracontrattuale (quale in particolare la comunicazione ad aziende terze per la valutazione del grado di soddisfazione della clientela e la gestione dei premi);

 

Indice

  • Provvedimento
D

Dalla newsletter

Garante privacy: no spam ai possessori di carte fedeltà 

L'Autorità impone a una catena commerciale misure a tutela dei consumatori

Non è lecito l'invio di comunicazioni commerciali ai possessori di tessere fedeltà che non abbiano espresso uno specifico e libero consenso all'uso dei propri dati a fini di marketing. E' quanto ribadito dal Garante Privacy in un provvedimento con cui ha imposto a un'importante catena di negozi una serie di misure per garantire il rispetto delle misure poste a tutela della privacy dei consumatori.

Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate da un'ispezione svolta dall'Autorità con l'ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell'applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr), al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa.

I clienti si erano lamentati per la continua e indesiderata ricezione in posta elettronica di offerte commerciali da parte dell'azienda di cui possedevano una carta fedeltà. Gli interessati avevano, peraltro, chiesto più volte alla società, sia telefonicamente, sia tramite procedure automatizzate, di cancellare il proprio indirizzo dalla mailing list pubblicitaria, ma senza ottenere alcun risultato.

Nel corso dell'istruttoria avviata dal Garante, l'impresa si è giustificata affermando di non essere stata in grado di bloccare l'invio di e-mail pubblicitarie per problemi connessi alle sue banche dati – contenenti dati di oltre dieci milioni di clienti - che, in quel periodo, erano in fase di migrazione verso un'unica piattaforma.

Dall'ispezione sono emersi ulteriori problemi relativi alla gestione dei dati personali dei clienti. E' stato in particolare accertato che il consenso al trattamento dei dati per l'invio di comunicazioni commerciali - acquisito attraverso i vecchi moduli di adesione al programma fedeltà - non poteva essere ritenuto valido, poiché i clienti erano costretti a rilasciarlo per poter ottenere iservizi proposti con la carta fedeltà. Inoltre, il sistema informativo della società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l'invio di spam.

Nel suo provvedimento, il Garante ha quindi prescritto misure per mettersi in regola con le nuove disposizioni in materia di protezione dei dati personali e, esercitando per la prima volta i nuovi poteri correttivi offerti dal Gdpr, ha “ammonito” la società a non utilizzare più, per finalità di marketing, i dati personali degli interessati, raccolti mediante i moduli relativi alla fidelity card contestata. Ha inoltre vietato l'utilizzo, per gli stessi fini, dei dati di qualunque interessato, in assenza di un comprovato consenso, libero e specifico. Alla società è stato ingiunto, infine, di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, assicurando anche il tracciamento puntuale delle richieste ricevute dalla clientela, e così poter comprovare il rispetto (accountability) degli adempimenti privacy.

provvedimento

Registro dei provvedimenti
n. 133 del 20 giugno 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito: “Regolamento UE”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”), modificato dal d.lgs. n. 101/2018, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento UE;

VISTE le segnalazioni inviate da XX all’Autorità ai sensi dell’art. 141, comma 1, lett. b), del Codice, con le quali l’interessata ha lamentato l’invio di comunicazioni promozionali indesiderate mediante posta elettronica da parte di Alfa s.p.a. (titolare del marchio “Alfa” di seguito anche “la Società”);

VISTA l’analoga segnalazione presentata da XX;

VISTE le note inviate dalla Società e le risultanze dell’accertamento svoltosi presso la predetta Società, con l’ausilio del Nucleo Speciale Privacy della Guardia di Finanza;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Le segnalazioni pervenute all’Autorità

Sono pervenute all’Autorità segnalazioni da parte di XX (delle quali, la prima datata 15 giugno 2017 e l’ultima 8 settembre 2017), con le quali la medesima ha lamentato l’invio di comunicazioni promozionali mediante posta elettronica, da parte di Alfa s.p.a. (titolare del marchio “Alfa”), in assenza del necessario consenso e nonostante la reiterata opposizione dell’interessata ai sensi degli art. 7 ss. del Codice (effettuata, peraltro, in più modalità: contattando il servizio clienti; utilizzando la procedura di cancellazione dalla mailing list indicata nelle comunicazioni in questione; oppure, accedendo al sito web della Società).

In particolare è emerso che:

- i dati personali (e in particolare l’indirizzo di posta elettronica) relativi alla segnalante sarebbero stati raccolti in occasione della sottoscrizione, nel 2007 e nel 2009, da parte della stessa, di due carte “alfa” (brand riconducibile alla medesima Società), successivamente oggetto di un’operazione di re-branding a vantaggio del marchio “Alfa”;

- non è stata fornita dalla Società documentazione relativa alla raccolta dei dati personali della segnalante (asseritamente effettuata mediante i coupon relativi alle menzionate carte fedeltà), né la prova del consenso al trattamento per finalità di marketing dei dati (anch’esso asseritamene) richiesto alla segnalante nelle suindicate circostanze temporali;

- la Società svolge, peraltro da lungo tempo, attività di marketing con più modalità, fra cui posta cartacea e modalità automatizzate (quali e-mail e sms);

- la Società non aveva richiesto agli interessati, limitatamente al modulo a marchio “alfa”, un consenso specifico per le finalità promozionali, bensì un unico consenso per tali finalità nonché per finalità diverse e riconducibili alla gestione contrattuale e paracontrattuale (quale in particolare la comunicazione ad aziende terze per la valutazione del grado di soddisfazione della clientela e la gestione dei premi);

- nonostante l’opposizione al trattamento effettuata dalla segnalante risultasse oggetto di un apposito ticket interno (del 19 giugno 2017), “i ripetuti interventi compiuti” dagli operatori della Società sui propri sistemi fra giugno e luglio per cancellare l’indirizzo di posta elettronica dell’interessata, dapprima, “sono stati inefficaci” per aver poi successo solo a far data dall’11 settembre 2017;

- tale problematica poteva spiegarsi con l’“avvio in produzione nella tarda primavera 2017 del nuovo sistema informatico di gestione dei dati “volto a ricondurre il formato di tutti i dati a nuovi standard aziendali, anche per ottimizzare il trattamento …  e ad identificare …  l’unico set di informazioni attendibili (relativamente all’anagrafica, ai recapiti fisici ed elettronici, al numero di carta fedeltà) relative a ciascun cliente”; sistema che “nei primi temi dopo il collaudo …. era affetto da due limitazioni: a) non trovava alcuni dati presenti nelle ricerche sul sistema carte fedeltà”; b) non trasmetteva in automatico i suoi aggiornamenti agli altri sistemi”.

È pervenuta, nel frattempo, un’ulteriore analoga segnalazione, presentata da XX il 20 giugno 2017, con cui questi ha lamentato di non esser riuscito a cancellare il proprio indirizzo dalla mailing list della Società (tramite la funzionalità di “unscribe”) e di aver provato a contattare, senza alcun esito, l’indirizzo XX@Alfa.it reperito nel testo della notificazione effettuata dalla Società al Garante (ai sensi dell’art. 37 del Codice.

2. L’accertamento in loco

Alla luce del menzionato riscontro, l’Ufficio ha disposto un accertamento ispettivo, nei giorni 6-9 febbraio 2018, presso la Società al fine di accertare la complessiva liceità dei trattamenti di dati personali.

Nel corso delle verifiche, la Società ha dichiarato, anche ai sensi dell’art. 168 del Codice (v. verbale 6 febbraio 2018, p. 3), che, nell’ambito della vendita di elettrodomestici, prodotti informatici e relativi accessori, raccoglie i dati personali dei propri clienti/utenti mediante tre diverse modalità:

- presso i propri punti vendita, attraverso un modulo cartaceo compilato da coloro che richiedono il rilascio di una fidelity card;

- on line, attraverso il sito www.Alfa.it, compilando il form ivi previsto, nella sezione “registrati”, presente alla pagina “My Alfa”; 

- tramite l’app “Alfa”.

La Società ha inoltre rappresentato (v. verbale 6 febbraio 2018, pp. 3 e 4) che:

- "I dati dei clienti/utenti acquisiti tramite il modello cartaceo, tramite il sito web e tramite “app”, confluiscono tutti su un’unica piattaforma”, nella quale sono presenti circa 10 milioni di clienti registrati;

- “di norma le campagne promozionali via e-mail vengono effettuate con cadenza giornaliera, quelle via sms tre/quattro a settimana”, e sporadicamente anche mediante posta cartacea.

Riguardo alle menzionate modalità di raccolta dei dati degli interessati, con particolare riferimento alle fidelity card rilasciate agli interessati presso i propri punti vendita, è emerso che la Società ha utilizzato, dal 2001 al 2015, due brand: “Alfa” e “Alfa”, mentre, successivamente, ha utilizzato solo il brand “Alfa”. 

Con specifico riguardo ai moduli cartacei a marchio “alfa” utilizzati per il periodo compreso fra il 2001 e il 2009 (v. specifica documentazione allegata ai verbali del 6 e il 7 febbraio 2018: all. 1 e all. 12), è risultato che il consenso al trattamento veniva acquisito con formula unica inclusiva sia delle finalità promozionali sia di quelle contrattuali e para-contrattuali (quali: la comunicazione a soggetti terzi ai fini della verifica del grado di soddisfazione dei clienti e la gestione dei premi). Successivamente al 2009, nelle varie edizioni aggiornate dei moduli cartacei, la Società ha invece richiesto, per quanto acquisito in atti, consensi differenziati per ciascuna delle specifiche finalità di trattamento poste in essere (e in particolare quelle promozionali).

2.1. Le verifiche relative alle segnalazioni pervenute all’Autorità

Nell’ambito del detto accertamento sono state rivolte alla Società richieste specifiche relativamente alle menzionate segnalazioni.

Con riguardo alla segnalante XX, la Società, nel confermare quanto già comunicato con nota del 30 novembre 2017 con particolare riferimento all’origine dei dati e “… al problema di disallineamento temporaneo dei dati a sistema tale da impedire il blocco delle comunicazioni promozionali a coloro che per il periodo interessato, hanno provato a cancellarsi dalla mailing-list”, nell’ambito dell’introduzione del nuovo sistema informatico di gestione dei dati, e nel fornire copia della corrispondenza intercorsa con la stessa, ha precisato che, nei propri sistemi, l’indirizzo e-mail (dell’interessata) risultava destinatario di comunicazioni promozionali, anche dopo l’opposizione effettuata dalla stessa a metà giugno, di cui l’ultima l’8 settembre 2017.

Anche con riguardo all’analoga segnalazione del sig. XX, la Società ha fatto riferimento alla menzionata problematica dell’aggiornamento dei sistemi informatici (verbale 7 febbraio 2018, cit., p. 1).

La Società ha inoltre precisato che l’indirizzo e-mail (peraltro assegnato a una dipendente il cui rapporto di lavoro è cessato nel 2014) contattato dal segnalante per rivolgere le sue richieste, sin dal 30 luglio 2014, risultava essere “stato disabilitat(o) e rimoss(o) dai ….. sistemi, e ciò potrebbe spiegare il “… mancato recapito della sua opposizione al trattamento inviato alla Alfa via email.”

Al riguardo, è stato verificato - come risulta da accesso effettuato in data 5 ottobre 2018 dall’Ufficio al registro dei trattamenti - che tale indirizzo e-mail non compariva più nel testo della notificazione aggiornata inviata – solo il 9 aprile 2018 - dalla Società al Garante ai sensi dell’art. 37 del Codice (obbligo peraltro abrogato, a far data dal 19 settembre scorso, dal citato d.lgs. n. 101/2018), ed è stato sostituito dall’indirizzo privacy@Alfa.it.

La medesima Società (v. verbale 9 febbraio 2018) ha quindi riferito quanto segue: “gli stessi accertamenti hanno anche consentito di appurare che (il segnalante in questione), con un altro indirizzo XX@hp.com, che differisce da quello (sopra menzionato) per un solo carattere …., risulta essersi iscritto sul sito e-commerce in data 30/5/2015. I consensi relativi a questa iscrizione … al momento della verifica risultavano tutti impostati a SI, ossia sul consenso al trattamento dei dati per ogni finalità. Non siamo in grado di accertare da quando i consensi fossero impostati con tali valori. In data 07/02/18 ….  abbiamo immediatamente impostato tutti i consensi a NO, in quanto risultano invii di newsletters a tale indirizzo nella finestra di analisi consentita dai sistemi (a partire dal 01/10/2017 fino al 07/02/18), pur senza contestazioni da parte dell’interessato”. La Società ha poi ipotizzato “che, come anche avvenuto nella migrazione  dei… domini aziendali … il server di posta che risponde al dominio @hp.com possa aver reindirizzato sull’indirizzo XX@hpe.com le newsletter inviate all’indirizzo XX@hp.com”. 

2.2. Le verifiche a campione effettuate su altri clienti inseriti nei sistemi societari

Nell’ambito delle verifiche a campione effettuate è emerso che il sistema … utilizzato conserva  i file relativi ai dettagli delle campagne promozionali per un periodo temporale non superiore a 4/5 mesi….” in ragione “dello spazio di salvataggio dei file nel … sistema informatico”. Per poter fornire informazioni di dettaglio riguardo alle campagne promozionali precedenti a tale intervallo temporale, la Società deve rivolgersi a una società terza, fornitrice del servizio di invio delle e-mail promozionali, con tempi brevi, e dunque efficienti, solo riguardo ai contatti effettuati nei confronti di singoli destinatari e comunque con “notevoli costi” (v. verbale 8 febbraio 2018, p. 2 e 3 e verbale 7 febbraio 2018, p. 4).

Analoga problematica gestionale (ed economica) è stata prospettata dalla Società anche con riguardo agli utenti fidelizzati inizialmente con carta “Satalfaurn” presso i suoi punti vendita. In proposito, la Società ha fornito solo parte della documentazione richiesta, evidenziando che, per poter rintracciare i moduli cartacei utilizzati per l’iscrizione degli interessati al programma fedeltà, avrebbe dovuto rivolgersi al fornitore preposto all’archiviazione dei medesimi, con i relativi rilevanti costi. Costi comprovati - secondo la Società - da fatture già pagate dalla medesima per le prime verifiche effettuate nell’ambito dei menzionati accertamenti (v. citata nota integrativa 22 febbraio 2018, pp. 2 e 3).

Nell’ambito dei predetti controlli, inoltre sono state verificate n. 5 anagrafiche relative a interessati che risultavano aver negato il consenso al trattamento per finalità di marketing alla data del 6 febbraio 2018, al fine di verificare se, successivamente, nonostante il diniego, gli stessi fossero stati destinatari di comunicazioni commerciali.

In particolare è risultato che “una dei 5 interessati (XX), pur avendo modificato il consenso al marketing a ‘no’ in data 27 giugno 2017, ha ricevuto 10 comunicazioni commerciali” (all. 28, verb. 6 febbraio 2018).

La Società al riguardo ha rappresentato la possibilità che “la problematica dell’invio non dovuto delle comunicazioni commerciali suddette (fosse derivata) dalla migrazione del … precedente sistema informatico a quello attuale”, migrazione avvenuta “dal 2 maggio 2017 al 19 settembre 2017 … (… giorno in cui è avvenuta l’ultima modifica del sistema informatico (verbale 8.2.2018, p. 4).  

2.3. Le gestione delle istanze di esercizio dei diritti degli interessati, incluso il diritto di opposizione

Con riferimento alle modalità attuate per ottemperare all’esercizio dei diritti degli interessati, la Società ha rappresentato che:

- gli utenti potevano contattarla mediante vari canali (posta ordinaria; numero verde; form on-line presente sul sito web o analogo disponibile sulla menzionata “app”; posta elettronica, cliccando sulla sezione “contattaci” presente sul sito aziendale) e, con particolare riferimento al diritto di opposizione, possono opzionare “cancellami” a piè di pagine delle e-mail ricevute;

- immediatamente si attivava per evadere le richieste avanzata dagli utenti, fornendo, al riguardo, prove esemplificative della procedura seguita; (v. all. 22 verbale 8 febbraio 2018).

Alla richiesta dell’Ufficio di fornire lista di tutti coloro che risultavano aver espresso diniego al trattamento per finalità promozionali, al momento della raccolta o successivamente (c.d. “black list”), Alfa ha rappresentato che: “i sistemi informatici utilizzati ….  permette(vano) solo di fornire dati su scala massiva (cioè con riferimento a tutti i circa 11 milioni di utenti registrati) relativi al consenso o diniego al marketing (e) solo in modo attualizzato, cioè alla data dell’interrogazione. Quindi su scala massiva non (era)  possibile fornire il dato del diniego originario o della successiva opposizione al marketing ad una particolare data. (verbale 6 febbraio 2018, pp. 4 e 5; verbale 9 febbraio 2018, p. 2).

Alla richiesta dell’Ufficio di esibire liste di utenti che risultavano essersi opposti alla ricezione di comunicazioni promozionali,  Alfa, nel fornire la relativa documentazione, ha formulato l’esigenza di distinguere fra gli utenti registrati prima del 1° giugno 2017 e gli utenti registrati successivamente a tale data,  precisando che solo per i secondi “è presente la data di variazione, mentre ….” per i primi non era possibile fornire tale informazione, poiché  “Il vecchio sistema non permetteva di storicizzare le variazioni, ma esponeva la fotografia statica solo dell’ultima opzione manifestata dal cliente.” (v. verbale 7 febbraio, cit., p. 2).  .

3. Le valutazioni del Garante

Con riferimento al trattamento in questione, occorre premettere che gli elementi di illiceità rilevati ai sensi della disciplina vigente alla data dell’accertamento, ossia il d.lgs. n. 196/2003 (“Codice”),  trovano conferma nel quadro normativo attuale di derivazione europea. Va infatti evidenziato che a partire dal 25 maggio 2018 trova applicazione il Regolamento (UE) 2016/679 il quale prevede, quali indefettibili presupposti di liceità del trattamento, in particolare, l’obbligo in capo al titolare di acquisire il consenso libero, specifico e inequivocabile dell’interessato in relazione ad una o più specifiche finalità (artt. 4, par. 1, punto 11, 6, par. 1, lett. a, e 7).

Ciò precisato, con specifico riguardo alle fidelity card del brand “alfa”, si deve ritenere che per quelle sottoscritte dal 2001 al 2009 il consenso sia stato raccolto con formula unica comprensiva anche del consenso per attività contrattuale e para-contrattuale (connesso alla gestione del programma proposto dalla Società), con ciò non potendosi considerare liberamente espresso dagli interessati.

Infatti, la capacità di autodeterminazione degli interessati (e quindi la libertà del consenso che questi sono chiamati a manifestare) non è assicurata quando si assoggetta, come nel caso di specie, la fruizione di finalità contrattuali e para-contrattuali, quali la gestione di concorsi a premi e la rilevazione del grado di soddisfazione della clientela  ‒ per le quali peraltro la legge comunque non richiede l’acquisizione di consenso (cfr. art. 24, comma 1, lett. b), del Codice, il cui disposto, abrogato dal d.lgs. n. 101/2018, è sostanzialmente confermato dall’art. 6, par. 1, lett b), Regolamento UE) ‒ alla contestuale autorizzazione a trattare i dati conferiti anche per finalità diverse, qual è quella promozionale.

Ciò, con la conseguenza che i dati raccolti dal titolare per l'erogazione di alcuni servizi vengono di fatto piegati ad una finalità diversa (cioè l’invio di messaggi promozionali, anche tramite email ed sms) da quella che ne ha giustificato la raccolta, in violazione, dunque - oltre che del principio del consenso libero e specifico, di cui agli artt. 23 e 130, del Codice - dei principi di correttezza e finalità del trattamento dei dati personali, sanciti dall’art. 11, comma 1, lett. a) e b), del Codice e ribaditi all’art. 5, par. 1 e 2, del Regolamento UE.

Nel prendere atto che i dati personali raccolti mediante i moduli relativi alle fidelity card “alfa” (utilizzati dal 2001 al 2009), non sono più oggetto di trattamento secondo quanto emerso in atti, tuttavia si ritiene opportuno ai sensi dell’art. 58, par. 2, lett. b), del Regolamento UE, ammonire la Società affinchè non effettui alcun ulteriore trattamento dei dati in questione, essendo stati raccolti in assenza di un comprovato consenso libero e specifico per finalità promozionali.

4. Invio di comunicazioni promozionali nonostante l’opposizione al trattamento

Sotto un diverso profilo, è altresì emerso che la Società ha effettuato un ulteriore illecito trattamento di dati, perché ha inviato comunicazioni promozionali a taluni clienti che si erano opposti al trattamento per finalità di marketing (v. allegati 8 e 28, verbali 7 e 8 febbraio 2018).

Anche in questo caso, la Società ha violato i richiamati artt. 23 e  130 del Codice.

Per le suddette ragioni, i dati personali - relativi agli interessati, per i quali la Società non disponga di un documentato consenso libero e specifico per le finalità di marketing - non possono essere ulteriormente trattati per tali scopi, e se ne deve quindi vietare l’ulteriore trattamento ai sensi dell’art. 58, par. 2, lett. f), del Regolamento UE.

5.  Misure atte a garantire l’esercizio dei diritti degli interessati nonché i principi di privacy by design e accountability

Alla luce di quanto sopra, emergono alcune criticità nella gestione concreta del diritto di opposizione al trattamento per finalità promozionali, di cui all’art. 7, comma 4, lett. b), del Codice, come vigente alla data dell’accertamento, abrogato dal d.lgs. n. 101/2018, in attuazione del Regolamento UE, e, tuttavia confermato dalla normativa europea (v.: artt. 12, par. 2 e 3; 21, par. 3, Regolamento UE).

Oltre a non aver opportunamente dato seguito al diritto di opposizione esercitato da taluni clienti, la Società risulta aver mantenuto - nel pubblico registro delle notificazioni  – un indirizzo di posta elettronica (assegnato a una propria dipendente cessata dal servizio, e quindi disabilitato e non più funzionante) quale possibile dato di contatto, per un notevole periodo di tempo compreso fra la data dalla prima notificazione (2004) e la data di aggiornamento della stessa (2018). Risulta altresì accertato che il segnalante XX, in ragione di ciò, non abbia potuto ricevere riscontro alla propria istanza di cancellazione inviata alla Società nel giugno 2017.

Al riguardo deve ricordarsi che il titolare è tenuto a predisporre le misure tecnico-organizzative volte a favorire l’esercizio dei diritti da parte dell’interessato, anche programmando adeguatamente i propri sistemi informatici al fine di poter verificare eventuali opposizioni o revoche del consenso da parte dei propri clienti.

Peraltro, va considerato che la disciplina europea, ora vigente, ha introdotto una serie di principi ed obblighi che il titolare del trattamento è tenuto ad osservare al fine di garantire la corretta applicazione delle disposizioni in materia di protezione dei dati personali, quali il principio di responsabilizzazione, ( i.e. la capacità, da parte del titolare, di render conto dei trattamenti di dati effettuati in base agli adempimenti di legge); nonché di privacy by design i.e. la necessità di progettare ed implementare i propri sistemi con misure tecniche ed organizzative “volte ad attuare in modo efficace i principi di protezione dei dati ... e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.” (artt. 5, par. 2, e 25 del Regolamento UE).

Inoltre, sono emerse alcune criticità relative alla gestione della documentazione relativa alla registrazione al programma fedeltà “alfa” della Società mediante moduli cartacei. In particolare, la Società ha soddisfatto, solo parzialmente, le richieste formulate dall’Autorità nell’ambito delle suindicate verifiche a campione, avendo evidenziato i costi (peraltro rilevanti, stando a quanto in atti), che avrebbe dovuto sostenere per reperire copia dei moduli cartacei sottoscritti dai clienti.

Tale problematica, unitamente alle rilevate disfunzioni del nuovo sistema implementato, pur solo temporanee ed oggetto di monitoraggio (secondo quanto assicurato dalla Società), non ha consentito di  verificare in modo puntuale ed efficiente il corretto e legittimo trattamento dei dati, con specifico riferimento al necessario consenso dei soggetti contattati.

Pur prendendo atto delle misure già adottate dalla Società tese a minimizzare e semplificare i trattamenti effettuati, occorre pertanto che la medesima intervenga sulle proprie procedure organizzative e operative, anche in considerazione della notevole mole dei dati personali trattati, nonché del possibile rilevante impatto di tali attività di trattamento sul fondamentale diritto alla protezione dei dati personali degli interessati, tanto più nei casi in cui gli stessi si siano opposti al trattamento.

Ciò considerato, si deve pertanto ingiungere alla Società, ai sensi dell’art. 58, par. 2, lett. d), Regolamento UE)  - ad integrazione delle misure già risultate poste in essere o di quelle eventualmente poste in essere per conformare i propri trattamenti alla normativa del Regolamento UE - di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, e, nello specifico, il diritto di opposizione; nonché per assicurare il tracciamento puntuale, rispetto a ciascun interessato, degli adempimenti imposti dalla normativa, e in particolare la corretta, efficiente, tempestiva e costante gestione della relativa documentazione, con particolare riferimento ai seguenti punti: - elementi circostanziati riguardo all’origine dei dati, quali in particolare: modalità e data dell’acquisizione; - modalità e testo con cui sia venga fornita l’informativa ai sensi dell’art.13 del Regolamento UE; - opzioni di consenso (o dissenso), formulate in sede di raccolta dei dati, rispetto alle distinte finalità di trattamento dichiarate dalla Società (e in particolare, finalità promozionali e di profilazione), ai sensi degli artt. 6-7 e 22, par. 2, lett. c), del Regolamento UE, nonché 130 del Codice, incluse le eventuali successive variazioni della volontà degli interessati, con specifica indicazione di elementi circostanziati, quali la data, la modalità e formula di (ri)acquisizione del consenso.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità dei trattamenti effettuati da Alfa Spa nei termini sopra descritti:

a) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento UE, ammonisce la Società a non procedere ad alcun ulteriore trattamento per finalità promozionali dei dati personali degli interessati, raccolti mediante i moduli relativi alle fidelity card “alfa” e utilizzati dal 2001 al 2009, in assenza di un comprovato consenso libero e specifico per tali finalità;

b) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento UE, vieta alla medesima Società di trattare per finalità promozionali i dati personali di eventuali interessati, per i quali non disponga di un comprovato consenso libero e specifico per tali finalità;

c) ai sensi dell’art. 58, par. 2, lett. e), del Regolamento UE, ingiunge alla Società di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, e in particolare del diritto di opposizione di cui all’art. 21 del Regolamento UE, nonché per assicurare il tracciamento puntuale, rispetto a ciascun interessato, degli adempimenti imposti dalla normativa, e in particolare la corretta, efficiente, tempestiva e costante gestione della relativa documentazione, con particolare riferimento anche ai seguenti punti:

- elementi circostanziati riguardo all’origine dei dati, quali in particolare: modalità e data della raccolta;

- modalità e testo con cui venga fornita l’informativa ai sensi dell’art. 13 del Regolamento UE;

- opzioni di consenso (o dissenso), formulate in sede di raccolta dei dati, rispetto alle distinte finalità promozionali e di profilazione (artt. 6-7 e 22, par. 2, lett. c), del Regolamento UE, nonché 130 del Codice), incluse le eventuali successive variazioni della volontà degli interessati, con specifica indicazione di elementi circostanziati, quali data, modalità e formula di (ri)acquisizione del consenso;

d) ai sensi dell’art. 157 del Codice, invita la società a comunicare, entro sessanta giorni dalla data di ricezione del presente provvedimento, idonea documentazione dalla quale si evincano le specifiche decisioni adottate in ordine, tenendo conto delle indicazioni fornite dall’Autorità. Si ricorda che il mancato riscontro alla predetta richiesta è punito con la sanzione amministrativa di cui agli artt. 166 del Codice e 83, par. 5, lett. e), del Regolamento.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento; inoltre, il mancato rispetto dell’ingiunzione e dell’ammonimento impartiti è sanzionato amministrativamente ai sensi dell’art. 83, par. 5, lett. e), Regolamento UE.

Ai sensi degli artt. 152 del Codice e 78 del Regolamento UE, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 giugno 2019

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

 

Garante privacy: no spam ai possessori di carte fedeltà 
L'Autorità impone a una catena commerciale misure a tutela dei consumatori

Non è lecito l'invio di comunicazioni commerciali ai possessori di tessere fedeltà che non abbiano espresso uno specifico e libero consenso all'uso dei propri dati a fini di marketing. E' quanto ribadito dal Garante Privacy in un provvedimento con cui ha imposto a un'importante catena di negozi una serie di misure per garantire il rispetto delle misure poste a tutela della privacy dei consumatori.

Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate da un'ispezione svolta dall'Autorità con l'ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell'applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr), al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa.

I clienti si erano lamentati per la continua e indesiderata ricezione in posta elettronica di offerte commerciali da parte dell'azienda di cui possedevano una carta fedeltà. Gli interessati avevano, peraltro, chiesto più volte alla società, sia telefonicamente, sia tramite procedure automatizzate, di cancellare il proprio indirizzo dalla mailing list pubblicitaria, ma senza ottenere alcun risultato.

Nel corso dell'istruttoria avviata dal Garante, l'impresa si è giustificata affermando di non essere stata in grado di bloccare l'invio di e-mail pubblicitarie per problemi connessi alle sue banche dati – contenenti dati di oltre dieci milioni di clienti - che, in quel periodo, erano in fase di migrazione verso un'unica piattaforma.

Dall'ispezione sono emersi ulteriori problemi relativi alla gestione dei dati personali dei clienti. E' stato in particolare accertato che il consenso al trattamento dei dati per l'invio di comunicazioni commerciali - acquisito attraverso i vecchi moduli di adesione al programma fedeltà - non poteva essere ritenuto valido, poiché i clienti erano costretti a rilasciarlo per poter ottenere iservizi proposti con la carta fedeltà. Inoltre, il sistema informativo della società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l'invio di spam.

Nel suo provvedimento, il Garante ha quindi prescritto misure per mettersi in regola con le nuove disposizioni in materia di protezione dei dati personali e, esercitando per la prima volta i nuovi poteri correttivi offerti dal Gdpr, ha “ammonito” la società a non utilizzare più, per finalità di marketing, i dati personali degli interessati, raccolti mediante i moduli relativi alla fidelity card contestata. Ha inoltre vietato l'utilizzo, per gli stessi fini, dei dati di qualunque interessato, in assenza di un comprovato consenso, libero e specifico. Alla società è stato ingiunto, infine, di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, assicurando anche il tracciamento puntuale delle richieste ricevute dalla clientela, e così poter comprovare il rispetto (accountability) degli adempimenti privacy.

24.07.2019 Garante privacy
Fonte:




Segui le novità in materia di Newsletter su Civile.it via Telegram
oppure via email: (gratis Info privacy)



Dossier:



dallo store:
visita lo store

Altro su Newsletter:


"Dimmi e io dimentico, mostrami e io ricordo, coinvolgimi e io imparo" - Benjamin Franklin


Spieghiamo contratti, ecommerce, privacy e il diritto di internet su Civile.it dal 1999



Tinyletter - I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in