I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-05-25 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96839' · pdf

Provvedimento prescrittivo e sanzionatorio nei confronti di Ediscom S.p.A. 23 febbraio 2023 [9870014] - concorsi a premio - dark patterns

abstract:



documento annotato il 25.05.2023 - decisione importante che copre i cookies, gli ip address, i dark patterns attorno ad un tema di gestione di banche dati multiple da coordinare tra di loro con consensi non rendicontati a sufficienza. Troppi dati obbligatorio chiesti nei concorsi a premio

Fonte: GPDP
Link: https://www.garanteprivacy.it/web/guest/home/docwe




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:

Indice

  • Provvedimento prescrittivo e sanzionator
  • IL GARANTE PER LA PROTEZIONE DEI DATI PE
  • PREMESSO
  • 1. L’ATTIVITÀ ISTRUTTORIA
  • 1.1 Elementi acquisiti tramite verifiche
  • 1.2 Elementi acquisti tramite le verific
  • 2. LA CONTESTAZIONE DELLE VIOLAZIONI
  • tramite i portali di proprietà d
  • 2.1.1 utilizzo di “modelli oscuri&
  • 2.1.2 raccolta di dati eccedenti
  • 2.1.3 mancanza di informazioni nel sito
  • 2.1.4 raccolta di dati di soggetti refer
  • 2.1.5 interazione fra i diversi servizi
  • 2.1.6 raccolta dei consensi nel portale
  • 2.2 Qualificazione dei ruoli nel trattam
  • affidati in gestione
  • 2.2.2 ruolo di Ediscom nell’ambito
  • 2.3 Idoneità delle verifiche effe
  • per l’invio di messaggi promozion
  • 3. LA DIFESA DEL TITOLARE
  • 4. VALUTAZIONI DI ORDINE GIURIDICO
  • 4.1 Utilizzo di modelli oscuri per aggir
  • 4.2 Raccolta di dati eccedenti
  • 4.3 Raccolta dei dati nei portali www.te
  • 4.4 Raccolta dei dati di soggetti refere
  • 4.5 Interazione fra i diversi servizi e
  • 4.6 Qualificazione dei ruoli nel trattam
  • 4.7 Idoneità delle verifiche sull
  • per l’invio di messaggi promozion
  • 5. ORDINANZA INGIUNZIONE PER L’APP
  • TUTTO CIÒ PREMESSO, IL GARANTE
  • ORDINA
  • INGIUNGE
  • DISPONE



testo:

E

estimated reading time: 65 min

VEDI ANCHE: Newsletter del 17 aprile 2023

[doc. web n. 9870014]

Provvedimento prescrittivo e sanzionatorio nei confronti di Ediscom S.p.A. - 23 febbraio 2023

Registro dei provvedimentin. 51 del 23 febbraio

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei Dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA

1.1 Elementi acquisiti tramite verifiche effettuate in loco

Nei giorni 22 e 23 novembre 2021, in conformità alla pianificazione delle attività ispettive del Garante e sulla base di alcuni reclami pervenuti, sono stati svolti accertamenti ispettivi presso la Ediscom S.p.A. (di seguito, Ediscom o Società) finalizzati a verificare le banche dati utilizzate per finalità di marketing, i criteri per selezionare i fornitori e la capacità di rendere riscontro alle richieste degli interessati.

La Società, nata nel 2006, si occupa oggi dell’effettuazione di campagne promozionali per clienti medio grandi via sms e e-mail e, solo di recente, tramite chiamate automatizzate. L’attività di Ediscom consiste nel veicolare i messaggi ricevuti dal committente ai soggetti presenti nella propria banca dati; tale attività è effettuata direttamente da Ediscom senza trasmissione dei dati al committente. Residualmente la Società offre anche il servizio di noleggio liste per il telemarketing. In tal caso, le liste vengono estratte dal database secondo criteri indicati dal cliente e vengono a questo veicolate tramite accesso in https con login e password.

Per svolgere la propria attività, la Società si avvale di un database contenente i dati di 21 milioni di interessati. Il database è composto da dati raccolti direttamente dalla Società e dati forniti da terzi; in particolare sono presenti:

1. dati raccolti da Ediscom attraverso propri portali contenenti notizie, curiosità, ricette di cucina o concorsi a premi; in sede di accertamento Ediscom ha dichiarato che i dati vengono acquisiti immediatamente al momento del submit quindi non è previsto l’invio di una comunicazione di conferma per il double opt-in; di seguito sono illustrate le verifiche successivamente effettuate dall’Ufficio a partire dagli indirizzi web indicati dalla Società;

2. dati acquisiti da soggetti terzi fornitori di database, per i quali la Società opera quale Titolare autonomo; dai contratti prodotti si evince che Ediscom acquista intere liste di dati prodotte da soggetti che li hanno raccolti on line tramite portali dedicati a concorsi a premi o ricerca di offerte;

3. dati acquisiti da soggetti terzi che vogliono monetizzare i propri database costituiti per l’erogazione di diversi servizi: in questo caso Ediscom opera come Responsabile del trattamento. Dai contratti prodotti emerge che il database viene offerto in noleggio e costi e ricavi sono ripartiti fra Ediscom e il fornitore della lista; il database resta di proprietà del soggetto che lo ha formato e Ediscom si impegna a valorizzarlo utilizzando i dati in esso contenuti per veicolare messaggi promozionali di terzi, suoi clienti; i dati oggetto di gestione sono solo quelli che, in base a un’attività di deduplica, non siano già nella disponibilità di Ediscom.

Con riguardo al recepimento delle richieste di cancellazione o di Revoca del Consenso pervenute dagli interessati, la Società ha dichiarato di provvedere a registrarle nel database inserendo contestualmente i dati in blacklist al fine di evitare di reimportare i medesimi dati all’acquisizione di nuove liste da parte di terzi. Nei casi in cui Ediscom opera come Responsabile del Trattamento (come descritto al punto 3 dell’elenco sopra riportato), le richieste degli interessati vengono comunicate anche ai rispettivi titolari.

Nella giornata del 23 novembre 2021 sono stati effettuati degli accessi al database nel quale Ediscom registra i dati dei soggetti contattabili. In particolare, le verifiche sono state effettuate prendendo avvio dai dati di alcuni interessati che avevano presentato reclami o segnalazioni al Garante.

In quasi tutti i casi esaminati è risultato che i dati degli interessati erano stati forniti dal partner XX con sede in Germania. A tal proposito la Società ha dichiarato che la suddetta XX, agendo quale intermediario (data broker), aveva veicolato liste formate da soggetti terzi (list editor) che, in base a quanto è stato acquisito in atti, erano tutti con sede extra UE (XX, XX e XX). La Società ha precisato di non aver alcun contatto diretto con i fornitori di tali liste essendo queste veicolate solo per il tramite della XX.

Ad ogni scheda d’ordine risultano allegate le Condizioni Generali di contratto da cui si evince che XX si impegna a cedere in maniera permanente ad Ediscom delle anagrafiche raccolte da terze parti di cui garantisce la liceità della raccolta e l’esistenza di un idoneo Consenso al trattamento.

Con riguardo ai controlli effettuati sulle liste acquisite da terzi, Ediscom ha dichiarato che:

- viene osservata la landing page, contenente il form di raccolta dati, simulando un’iscrizione per verificare la raccolta di consensi liberi e specifici;

- viene effettuato un controllo di conformità dell’informativa privacy;

- viene richiesto al fornitore di inviare, per ogni contatto, anche la relativa prova dei consensi espressi (indirizzo IP, data e ora di registrazione, tipologia di consensi espressi, URL di registrazione); ciò risulta utile anche per fornire un pronto riscontro ad eventuali richieste degli interessati.

A tale proposito la Società ha prodotto documentazione contenente le verifiche effettuate su alcuni dei siti web utilizzati dai partner per raccogliere i Dati personali e i relativi consensi (cfr. allegato 7-quater Verifiche_db, sottocartella “User experience controlli”). Tale documentazione contiene, per ognuno dei siti esaminati, le pagine visualizzabili dall’utente e l’informativa privacy. Non risulta documentata la data di effettuazione di tali accessi.

La Società ha inoltre chiarito che, in alcuni casi in cui non risultava sufficientemente comprovata la liceità del trattamento, la stessa ha rifiutato offerte di database (cfr. all. 7-quater al verbale del 23 novembre 2021).

Nel corso degli accertamenti è stato fatto notare dai verbalizzanti che il list provider XX (da cui risultavano forniti, per il tramite di XX, i dati di alcuni segnalanti), non indicava nell’informativa privacy i dati di contatto del rappresentante in Italia (essendo il Titolare extra-UE) come previsto dall’art. 27 del Regolamento. La Società, interpellata sul punto ha ammesso di non essersene accorta.

Con riguardo ai singoli accessi effettuati sulle utenze oggetto di segnalazione, si osserva in particolare che:

1) nel caso del segnalante XX, utenza cellulare XX, risulta che il contatto era stato cancellato dal database di Ediscom il 14 dicembre 2017 per poi essere nuovamente acquisito il 1° ottobre 2020 tramite “SponsorG Checkmate” (e cancellato il mese successivo); tuttavia, tale utenza risulta inserita in cinque campagne promozionali nel corso del 2019 verosimilmente in virtù del fatto che il segnalante era al contempo presente anche nel database fornito da XX (da cui risulta cancellato il 2 gennaio 2020): XX è qualificato come Titolare del Trattamento di un database dato in gestione a Ediscom. Inoltre, con riguardo a tale segnalante, si osserva che Ediscom ha fornito un riscontro direttamente all’interessato con email del 24 novembre 2020 dove ha dichiarato che i dati, nel periodo lamentato, erano stati estratti dal database di XX con sede in Spagna e che Ediscom li ha trattati in qualità di responsabile. Dall’esame della certificazione di accesso fornita da XX (e inoltrata al segnalante) risulta che i dati del signor XX sono stati acquisiti attraverso la registrazione al portale https://it.bestdeals-bc.com in data 22/01/2020 ma non risulta documentato anche uno specifico Consenso per la comunicazione a terzi per finalità promozionali. Anzi, in tale certificazione l’editor precisa quanto segue in merito al consenso: “che sotto forma di partecipazione ricevuta è chiaro che l’utente ha concesso a XX Consenso gratuito ed espresso per il Trattamento dei suoi Dati personali per scopi di marketing, accettando l’informativa sulla privacy, le condizioni d’uso e le regole della lotteria…”; si osserva che per il partner XX non risulta fornita alcuna documentazione contrattuale né vi è stata espressa menzione nella lista dei partner fornita in corso di accertamento (cfr. all. 2-bis al verbale del 23 novembre 2021);

2) nel caso del segnalante XX, utenza cellulare XX, risulta che la Società ha provveduto a cancellare manualmente l’interessato dal database il 13 novembre 2020 dal momento che questi aveva richiesto direttamente ad Ediscom la cancellazione dei suoi dati e si era opposto alla ricezione di altri contatti promozionali. L’utenza del segnalante è stata tuttavia reinserita nel database il 1° giugno 2021 a seguito dell’acquisizione della banca dati di XX.

È stato inoltre verificato l’utilizzo dei dati di contatto del reclamante XX. Questi, con reclamo al Garante, ha lamentato di aver ricevuto un’email promozionale per conto di XX e di non essere riuscito ad ottenere una risposta chiara in merito all’origine dei suoi dati. Ciò in quanto tutti i soggetti coinvolti nell’attività promozionale hanno declinato la propria responsabilità facendo riferimento, da ultimo, ad una società con sede in Inghilterra (la XX). Ediscom, già messa a conoscenza dei fatti dallo stesso XX tramite una richiesta di esercizio dei diritti, ha dichiarato che i dati erano stati estratti dal database della XX (con sede in Spagna) definita “affiliato” di XX, partner di Ediscom cui XX ha affidato il servizio. La XX, a sua volta, avrebbe dichiarato di aver acquisito i dati dalla XX. A tal proposito si deve aggiungere che il reclamante, dopo aver ricevuto un analogo riscontro da parte della XX, ha effettuato ulteriori ricerche (verificate anche dall’Ufficio del Garante) dimostrando che nella data di asserita acquisizione dei suoi dati da parte di XX (nel 2018), il sito indicato come fonte di acquisizione dei dati in realtà era un sito vetrina di un partito politico, senza alcun form di acquisizione dei dati o formule di Consenso da selezionare per finalità promozionali. La XX inoltre risulta iscritta nel registro delle imprese inglese dal 2021.

Dopo aver ricevuto tali puntuali osservazioni dal reclamante, e non avendo avuto riscontri idonei da XX, Ediscom ha inviato una diffida ad XX e a XX in merito ad ulteriori utilizzi delle liste di XX ed ha provveduto ad inserire in blacklist i dati del signor XX (vd. allegato 7-ter al verbale del 23 novembre 2021).

Con riguardo al rapporto contrattuale con XX la Società ha prodotto, nel corso dell’accertamento, un contratto di partnership sottoscritto l’11 ottobre 2011 tra Ediscom, XX e XX (all.7-bis al verbale del 23 novembre 2021). In tale contratto si fa riferimento unicamente alla possibilità di gestire in comune le campagne promozionali acquisite da uno dei tre contraenti con il riconoscimento di una percentuale sui guadagni. Unitamente a questo contratto la Società ha prodotto un atto di nomina a Responsabile del Trattamento dove XX è Titolare e Ediscom Responsabile nonché un altro atto di nomina a Responsabile del Trattamento dove invece è Titolare Ediscom e XX ha il ruolo di responsabile.

1.2 Elementi acquisti tramite le verifiche effettuate d’ufficio a partire dalla documentazione consegnata dalla Società

Nei giorni 21 e 22 marzo 2022 sono state effettuate verifiche d’ufficio nei siti web indicati dalla Società come fonti da cui acquisire Dati personali in via diretta (cfr. all. 4 al verbale del 22 novembre 2021).

È stato rilevato innanzitutto che tutti i siti facevano riferimento alla medesima informativa privacy di Ediscom, che risultava aggiornata il 3 marzo 2022. Tuttavia, il sito www.testadiquiz.it non presentava nella home page alcun riferimento al soggetto intestatario del sito, né tantomeno rendeva disponibile l’informativa privacy prima della raccolta dei dati (veniva mostrato il link all’informativa solo al termine del processo, nella checkbox di raccolta dei consensi).

Tutti i siti indicati presentavano un form di inserimento dei Dati personali e le medesime caselle di acquisizione dei consensi, con la possibilità di esprimere un separato Consenso per finalità di marketing da parte di Ediscom e per la comunicazione a terzi per finalità di marketing.

Si osserva quanto segue:

a) mentre in alcuni portali l’iscrizione si chiudeva con un messaggio che informava dell’invio di un’email di conferma, in altri casi il processo terminava con il comando di submit a seguito del quale i dati avrebbero dovuto essere direttamente acquisiti a sistema, come dichiarato anche nel corso degli accertamenti ispettivi; con riguardo al sito www.rispondievinci.it il processo si concludeva con il messaggio “Grazie per aver partecipato al concorso. Entro breve riceverai tramite email le informazioni per verificare se hai vinto il premio”;

b) negli stessi siti che consentivano la registrazione senza email di conferma, se non venivano selezionate le caselle di Consenso per il marketing, prima di andare avanti con il processo di iscrizione veniva mostrata all’utente la seguente schermata con la quale si invitava a fornire il primo consenso:

(figura 1)

image

Se invece si selezionava solo il primo consenso, senza selezionare la richiesta di comunicazione a terzi per finalità di marketing, veniva visualizzata la seguente schermata che invitava a fornire il secondo consenso:

(figura 2)

image

c) nei siti visitati veniva richiesto di inserire numerosi Dati personali – tutti obbligatori – quali dati anagrafici e di contatto (ad es. era richiesto obbligatoriamente di inserire sia l’indirizzo email che il numero di telefono). Inoltre, in alcuni di essi era richiesto di fornire risposte a numerosissime domande – tutte obbligatorie – relative alla capacità e alle abitudini di acquisto, al nucleo familiare, all’attività lavorativa svolta, al reddito annuo ecc.

(figura 3)

image

d) in alcuni siti, durante il processo di iscrizione, veniva richiesto di inserire i dati di contatto di amici potenzialmente interessati al servizio con un’opzione per negare l’inserimento non agevolmente visibile:

(figura 4)

image

e) dopo aver completato il processo di iscrizione al sito www.fioriblu.it per ottenere una newsletter mensile su salute e benessere, l’utente veniva invitato a cliccare su un link che conduceva al sito www.you.tipiace.it per scaricare un non meglio precisato e-book; all’accesso dal link il sito riconosceva l’utente e mostrava nel profilo (già attivato) tutti i dati di registrazione inseriti in www.fioriblu.it. Inoltre, i consensi privacy che nel sito fioriblu.it non erano stati concessi, nel sito you.tipiace.it risultavano tutti selezionati; analogamente, dopo aver completato la registrazione al sito www.gustissimo.it per ottenere una newsletter mensile di cucina, l’utente veniva invitato a cliccare sullo stesso link che conduceva al sito www.you.tipiace.it per scaricare un e-book. Anche in questo caso l’utente trovava un proprio profilo già attivo con gli stessi Dati personali inseriti in www.gustissimo.it anche se i consensi non risultavano selezionati;

f) in calce al sito web www.you.tipiace.it erano presenti i link per raggiungere i seguenti siti partner (tutti di proprietà di Ediscom): www.gustissimo.it, www.ricettaidea.it, www.fioriblu.it, www.joblet.it, www.sullaneve.it, www.guidaconsumatori.it. Questi ultimi due siti web non erano presenti nell’elenco fornito da Ediscom (all. 4 al verbale del 22 novembre 2021);

g) il sito web www.sullaneve.it, che riportava in calce il link all’informativa privacy di Ediscom, non prevedeva iscrizioni o registrazioni al servizio: tuttavia, per poter pubblicare un commento sugli argomenti proposti veniva richiesto di compilare un form in cui si richiedeva di inserire, oltre al commento, il nome e l’indirizzo email con l’avvertenza che a tale indirizzo email sarebbe stata inviata una comunicazione per poter attivare il commento e pubblicarlo. In calce al form erano presenti due check box che servivano, rispettivamente, per confermare la presa visione dell’informativa privacy e per acconsentire “…al Trattamento dei mie Dati personali per le finalità facoltative di promozione e marketing, per la cessione dei dati a terzi”.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 3 maggio 2022 è stato comunicato l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione dei provvedimenti correttivi e delle sanzioni, sulla base delle risultanze dell’attività ispettiva e delle successive verifiche condotte d’ufficio.

In particolare, gli accertamenti hanno consentito di effettuare rilievi con riguardo ai seguenti aspetti.

2.1 Raccolta dei Dati personali tramite i portali di proprietà di Ediscom

Con riguardo agli accertamenti descritti al punto 1.2. si è ritenuto che la raccolta dei Dati personali non fosse conforme alle disposizioni del Regolamento con riguardo ai profili di seguito descritti.

2.1.1 utilizzo di “modelli oscuri” (dark pattern) per aggirare la volontà dell’interessato

Dagli accessi effettuati ai portali gestiti direttamente dalla Ediscom è emerso che in molti casi la Società adottava modelli comunicativi non chiari con particolare riguardo alla progettazione grafica delle interfacce e alle modalità di svolgimento del processo di iscrizione ai servizi.

Per maggiore chiarezza, in sede di contestazione, sono stati richiamati anche i chiarimenti espressi dall’EDPB con le linee guida sui dark pattern (ancora in consultazione pubblica al momento della redazione dell’atto di avvio del procedimento).

In alcuni dei portali esaminati, durante il processo di iscrizione veniva richiesto all’interessato di esprimere uno specifico Consenso in merito al Trattamento per finalità di marketing di Ediscom e alla comunicazione a terzi per finalità di marketing. Se una delle due caselle non veniva selezionata, veniva presentato un pop up che evidenziava la mancanza del Consenso e presentava un tasto ben evidente per accettare il trattamento. Il link per continuare senza accettare era posto in basso, fuori dal pop up, in testo semplice (senza il formato grafico del pulsante) scritto con carattere di dimensioni inferiori al resto del testo e, essendo in sovraimpressione, poco visibile (cfr. figure 1 e 2 riportate sopra).

La proposizione del pop up non aveva alcuna utilità per lo svolgimento del processo di iscrizione ma rappresentava, evidentemente, un ulteriore tentativo di raccogliere il Consenso dell’utente nonostante questi avesse già chiaramente espresso la sua volontà nella schermata precedente. Tale tentativo, oltre ad aggravare inutilmente il percorso di iscrizione, si caratterizzava per una maggiore opacità delle modalità con cui la richiesta di Consenso veniva presentata aumentando le probabilità che l’interessato rilasciasse il proprio Consenso non per scelta consapevole ma piuttosto perché indotto in errore o per la fretta di concludere il processo.

Analoga impostazione si rinveniva nella schermata presentata all’utente per invitarlo a fornire i dati di altri soggetti potenzialmente interessati ad iscriversi ai servizi (cfr. figura 4). A fronte di messaggi di invito scritti in grassetto e campi asteriscati (anche se di fatto facoltativi), l’opzione “…oppure salta” – che dovrebbe essere alternativa al tasto “continua” - era riportata in fondo alla pagina in carattere molto più piccolo e con una grafica del tutto diversa rispetto all’opzione “continua”.

Inoltre, le verifiche effettuate hanno confermato che per l’iscrizione ai servizi offerti da alcuni portali della Ediscom non veniva richiesta una convalida tramite invio di email (raccolta del Consenso in modalità cod. double-opt in) così come descritto dalla stessa Società anche in sede di accertamento ispettivo. Tuttavia, gli accessi ai siti hanno anche dimostrato che in alcuni casi il processo di iscrizione si concludeva con un messaggio che avvisava della prossima ricezione di una email di conferma.

Si osserva peraltro che i siti per i quali non era prevista una email di conferma erano anche gli stessi siti per i quali era stata rilevata una raccolta di dati eccedenti (cfr. punto 2.1.2 che segue) e per i quali erano utilizzate interfacce appositamente costruite per aggirare la volontà dell’interessato in merito alla raccolta del consenso. Come più volte chiarito dal Garante, la documentazione del Consenso attraverso il solo indirizzo ip di registrazione non può ritenersi sufficiente a dimostrare la volontà dell’interessato (cfr. provv. del 25 novembre 2021 doc. web n. 9737185 e provv. del 26 ottobre 2017 doc. web n. 7320903 in www.garanteprivacy.it).

In conclusione si è ritenuto che, un Consenso raccolto con tali modalità, volutamente progettate per eludere le norme, destasse molte perplessità in ordine alla libertà e alla consapevolezza con cui l’interessato può esprimere la propria volontà e pertanto non poteva essere considerato lecito.

Per tali ragioni si è ritenuta integrata la violazione dell’art. 5, par. 1, lett. a), 7 par. 2 e 25.

2.1.2 raccolta di dati eccedenti

In molti dei siti visitati veniva richiesto di inserire numerosi Dati personali e di fornire risposte a numerosissime domande – tutte obbligatorie – relative alla capacità e alle abitudini di acquisto, al nucleo familiare, all’attività lavorativa svolta, al reddito annuo ecc. (cfr. figura 3 sopra).

La raccolta di tutte queste informazioni, che non sembrava avere alcuna attinenza con il servizio offerto, non risultava necessaria per l’erogazione dello stesso con la conseguenza che i dati raccolti erano più del necessario; inoltre, tali informazioni erano atte a tratteggiare un profilo dell’iscritto e avrebbero potuto far rientrare il Trattamento nella finalità descritta al punto 1 c) dell’informativa privacy pubblicata dalla stessa Ediscom (analisi e definizione di profili e preferenze per finalità di marketing). Tuttavia, per tale Trattamento non era richiesto all’interessato di esprimere uno specifico Consenso come invece descritto nella stessa informativa. Pertanto, la raccolta dei Dati personali degli iscritti, così configurata, si è ritenuto violasse il principio di liceità, correttezza e trasparenza perché obbligava l’interessato a conferire molte informazioni non pertinenti al servizio. Inoltre, tale Trattamento poteva violare il principio di limitazione delle finalità qualora i dati raccolti per finalità di servizio o sulla base di specifici consensi per il marketing, venissero poi utilizzati anche per la Profilazione dell’utente in assenza di uno specifico consenso. Infine, la raccolta di dati ultronei rispetto alle finalità del Trattamento è stata ritenuta in contrasto con il principio di min imizzazione dei dati.

Per tali ragioni, il Trattamento risultava effettuato in violazione degli artt. 5, par. 1, lett. a), b) e c), 6 e 7 del Regolamento.

2.1.3 mancanza di informazioni nel sito www.testadiquiz.it

Il sito web www.testadiquiz.it non presentava in home page alcuna informazione in merito al soggetto intestatario del sito stesso (in genere indicato nel footer dell’home page) né rendeva disponibile il link all’informativa privacy prima di iniziare a raccogliere i dati degli interessati. Il link all’informativa veniva visualizzato solo al termine della compilazione quando veniva richiesto all’interessato di esprimere i consensi per le finalità di marketing di Ediscom e di terzi.

image

image

image

Nel sito indicato, oltre a non essere presente alcuna informativa, non vi erano neanche indicazioni in merito al soggetto cui il sito apparteneva; pertanto l’utente era invitato ad inserire i propri Dati personali in mancanza di qualsiasi informazione in merito al futuro trattamento, perfino in mancanza della stessa identità del titolare. A tal proposito si è ricordato che, oltre alle specifiche disposizioni del Regolamento in materia di trasparenza, la pubblicazione dei dati aziendali nell’homepage del sito è un obbligo di legge (cfr. art. 35, comma 1, dPR 26 ottobre 1972, n. 633 e art. 2250 c.c.).

Con riguardo alle specifiche diposizioni a tutela dei dati personali, è stato richiamato l’art. 13 del Regolamento in base al quale il Titolare deve fornire all’interessato tutte le informazioni previste “nel momento in cui i dati sono ottenuti”. Pertanto è necessario che le informazioni sulle finalità e modalità del Trattamento siano rese note all’interessato prima che questo inizi la compilazione del form al fine di consentirgli di valutare le condizioni proposte dal Titolare prima che il Trattamento abbia inizio.

Per tali ragioni, si è ravvisata la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

2.1.4 raccolta di dati di soggetti referenziati

Come si evince anche dalla figura 4 sopra riportata, in molti dei siti visitati era presente una schermata con cui veniva richiesto all’interessato di fornire nome e indirizzo email di altri soggetti potenzialmente interessati al medesimo servizio. L’Ufficio ha rilevato che i dati di soggetti terzi eventualmente conferiti dall’utente nel corso del processo di iscrizione, non si sarebbero potuti comunque considerare assistiti da un idoneo Consenso per futuri contatti promozionali. Ciò in quanto lo status di “referenziato” (che sarebbe riconosciuto al soggetto presentato dall’utente) non può surrogare il necessario adempimento dell’obbligo della previa acquisizione di un Consenso specifico, documentato ed inequivocabile dell’interessato poiché il Terzo referenziante non è (di regola) legittimato a prestare alcun valido Consenso per conto dell’interessato Destinatario del contatto promozionale (cfr. provv. 15 gennaio 2020, doc. web n. 9256486).

Per tali ragioni la raccolta dei Dati personali dei terzi indicati dall’utente non risultava giustificata da nessuna delle basi giuridiche indicate dall’art. 6 del Regolamento, tenuto anche conto del fatto che sono ormai ampiamente diffuse modalità alternative di veicolazione del proprio brand attraverso soggetti già clienti senza necessità di acquisire direttamente i Dati personali di ignari soggetti terzi.

Qualora tali dati fossero stati utilizzati per veicolare messaggi promozionali senza fornire un’idonea informativa e senza acquisire uno specifico consenso, tale attività sarebbe risultata illecitamente svolta.

Per tali ragioni si è ritenuto che il Trattamento configurasse la violazione dell’art. 6 del Regolamento e si sono ritenute verosimilmente violate le disposizioni dell’art. 14 del Regolamento e dell’art. 130 del Codice.

2.1.5 interazione fra i diversi servizi con registrazione contestuale dei dati

Dagli accessi effettuati dall’Ufficio al sito www.fioriblu.it è emerso che l’utente, dopo aver completato il processo di iscrizione alla newsletter di benessere e salute veniva invitato a scaricare un e-book (dal contenuto imprecisato) cliccando su un link che conduce al sito www.you.tipiace.it.

image

Seguendo il link proposto si accedeva al sito www.you.tipiace.it (che conteneva ricette di cucina). L’utente, che aveva fatto accesso dal menzionato link, veniva riconosciuto con gli stessi dati inseriti su www.fioriblu.it e si ritrovava già creato un profilo personale con i medesimi dati come mostra la figura che segue:

image

Inoltre, i consensi privacy, che nel sito www.fioriblu.it non erano stati concessi, nel sito www.you.tipiace.it risultavano tutti già selezionati (pur essendo deselezionabili manualmente):

image

Tale impostazione è stata giudicata dall’Ufficio in evidente contrasto con il presupposto della libertà del consenso.

Per tali ragioni si è ravvisata la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento.

Anche il processo di iscrizione al sito www.gustissimo.it terminava con un link che reindirizzava a www.you.tipiace.it dove si ritrovava un profilo utente già compilato con i medesimi dati inseriti su www.gustissimo.it.

Tale risultato è stato ritenuto verosimilmente derivante da un’impostazione che tiene conto del fatto che il Titolare è sempre Ediscom e che i dati raccolti attraverso i diversi portali, che presentano la medesima informativa, verosimilmente confluiscono in un unico data base. Se dunque il Trattamento dovrebbe essere di fatto uno solo con un’unica finalità, l’interessato, ad avviso dell’Ufficio, non era comunque messo in condizione di comprenderlo a pieno e, di conseguenza, di interagire correttamente con i servizi offerti da Ediscom. Inoltre, mentre i siti www.fioriblu.it e www.gustissimo.it non richiedevano una password, il sito www.you.tipiace.it richiedeva di aggiungere una Password al profilo già creato. Se non si dava seguito, il profilo non veniva comunque cancellato perché ad un successivo accesso con la medesima email l’utente veniva riconosciuto come già iscritto pur non avendo mai richiesto l’iscrizione e senza aver mai inserito una password.

Come già descritto, il processo di iscrizione alle newsletter si concludeva con l’invito a cliccare su un link che conduceva ad un altro servizio. Tale passaggio, oltre a non essere chiaramente percepibile come facoltativo, destava perplessità anche in ordine al suo collegamento con il processo di iscrizione che l’utente aveva appena terminato, dal momento che il servizio offerto tramite il sito www.you.tipiace.it non aveva alcuna attinenza con i contenuti scelti dall’utente nei siti di provenienza.

Tutto ciò premesso si è ravvisata la violazione dell’art. 5, par. 1, lett. a) del Regolamento per via della mancanza di chiarezza e trasparenza nei confronti dell’utente; inoltre, si è rilevata la violazione anche del principio di limitazione delle finalità, di cui all’art. 5, par. 1, lett. b) del Regolamento, poiché l’utente conferiva i suoi dati per iscriversi ad uno specifico servizio ma i suoi stessi dati venivano utilizzati anche per iscrivere lo stesso utente ad un altro portale senza che ciò rientrasse tra le sue aspettative e senza che tale ulteriore iscrizione avesse alcuna attinenza con l’iniziale finalità consistente nell’iscrizione al primo portale.

2.1.6 raccolta dei consensi nel portale www.sullaneve.it

Come descritto sopra, è stato accertato che per l’inserimento di un commento nel portale www.sullaneve.it era richiesto di indicare nome e indirizzo email. In calce al form erano presenti due check box che servivano, rispettivamente, per confermare la presa visione dell’informativa privacy e per acconsentire “…al Trattamento dei miei Dati personali per le finalità facoltative di promozione e marketing, per la cessione dei dati a terzi”.

Si è osservato che veniva presentata un’unica casella di Consenso per quelli che in realtà sembrerebbero due trattamenti distinti. Anche in questo sito infatti era pubblicata l’informativa privacy che distingueva i due trattamenti ai punti 1.b e 1.d.

image

L’Ufficio ha osservato che, con riguardo anche alla formula di Consenso indicata nel portale, se la finalità era la medesima (marketing), diverso era il Titolare che effettuava il Trattamento (Ediscom stessa o i terzi cui i dati venivano comunicati). Pertanto erano necessari due distinti e specifici consensi, che difatti la Società provvedeva a richiedere negli altri portali esaminati. In questo caso, una siffatta formulazione non consentiva all’interessato di esprimere una volontà libera e specifica realizzando la violazione degli artt. 6, par. 1, lett. a) e 7 del Regolamento.

2.2 Qualificazione dei ruoli nel trattamento

Da quanto descritto dalla Società nel corso degli accertamenti e dall’esame della documentazione contrattuale prodotta, è emersa una qualificazione del ruolo di Ediscom nel Trattamento dei Dati personali che si differenziava in base al rapporto commerciale instaurato con i partner ma che non trovava parallelamente una giustificazione nell’effettivo atteggiarsi dei ruoli.

Ediscom si qualificava, correttamente, come autonomo Titolare del Trattamento in tutti i casi in cui acquisiva liste di dati da altri autonomi titolari. Tuttavia, non si è condivisa - per le ragioni di seguito esposte - la qualificazione di Responsabile del Trattamento in capo ad Ediscom nei casi descritti come “gestione di database” per conto di terzi. Analoghe considerazioni sono state fatte per il ruolo di Ediscom nei rapporti commerciali definiti di “affiliazione”, dove però la qualificazione dei ruoli non è stata chiaramente comprovata.

2.2.1 ruolo di Ediscom nel Trattamento dei dati contenuti nei database affidati in gestione

In tutti i casi in cui la Società stabiliva con la controparte commerciale un accordo di gestione del database, si qualificava come Responsabile del Trattamento sia nei contratti che nelle risposte fornite alle richieste di esercizio degli interessati.

In realtà, tale diversa qualificazione rispetto ai casi in cui vi era un acquisto di liste è stata ritenuta dall’Ufficio senza fondamento. Ciò in quanto anche nel rapporto commerciale denominato di “gestione” Ediscom è da considerare Titolare autonomo poiché ogni attività di acquisizione di dati è finalizzata ad arricchire il database della stessa Ediscom che sarà poi utilizzato per offrire i servizi promozionali ai propri clienti (difatti la Società dispone di un unico database). Pertanto, l’Ufficio ha ritenuto che non avesse rilievo la fonte di provenienza dei dati (fonti dirette, come i portali di proprietà di Ediscom, o banche dati acquisite da terzi, indipendentemente dal titolo giuridico su cui si basa tale acquisizione). In altre parole, non può aver rilievo la causa (acquisto, noleggio, gestione/ sfruttamento del database) del contratto sottoscritto con il Terzo quando di fatto si realizza sempre e comunque una acquisizione di dati da terzi finalizzata alla veicolazione di messaggi promozionali da parte di Ediscom per conto dei propri clienti.

Ne consegue che, in ogni caso, il Trattamento è sempre consistente nella raccolta di Dati personali (indipendentemente dalla fonte) ed è Ediscom a stabilire la finalità di tale trattamento: lo sfruttamento commerciale della banca dati attraverso la veicolazione di messaggi promozionali di propri clienti.

Del resto, la funzione dell’acquisizione dei dati era chiaramente quella di arricchire il database di Ediscom dato che nei contratti sottoscritti con i terzi si legge che “i dati oggetto della gestione sono quelli che risultano non già nella disponibilità di Ediscom S.p.A. in base ad un’attività preliminare di deduplica che Ediscom S.p.A. stessa si riserva di effettuare confrontando il database di SOCIETA’ con quelli di cui ha la disponibilità”.

Una siffatta impostazione dei ruoli, inoltre, ha dimostrato di avere conseguenze pregiudizievoli sugli interessati. Infatti, Ediscom ha dimostrato di aver correttamente recepito le richieste di opposizione o di cancellazione ricevute e ha registrato in black list gli interessati per evitare di reimportarne i dati in caso di successive acquisizioni di liste. Tale opportuna cautela però è risultata vana nei casi in cui tali liste erano state acquisite sotto forma di database in gestione poiché, qualificandosi erroneamente come Responsabile del trattamento, Ediscom non ha tenuto conto delle opposizioni già ricevute (e dirette alla stessa Ediscom) e ha di conseguenza veicolato messaggi promozionali a soggetti che si erano già opposti (cfr. i casi di XX e XX sopra descritti).

Inoltre, si è osservato che nei contratti esibiti come tipologia utilizzata per la gestione di database, risultava che Ediscom “gestirà il database…attraverso la concessione del medesimo in noleggio, per periodi non superiori a mesi 3, e l’invio di sms commerciali per i partner Ediscom”. Ne consegue che il Consenso alla trasmissione a terzi originariamente acquisito dal soggetto che ha creato il database sarebbe stato ritenuto sufficiente, nel caso del noleggio, per comunicare i dati prima ad Ediscom e poi al Terzo noleggiante. Una simile costruzione tuttavia non sarebbe accettabile non potendo ammettere la validità di tale Consenso all’infinito per tutti i soggetti successivi al primo cui i dati vengono comunicati.

Pertanto l’errata qualificazione di Responsabile del Trattamento nei rapporti contrattuali denominati di gestione di database ha fatto ritenere il Trattamento in contrasto con i requisiti di liceità, correttezza e trasparenza, in violazione dell’art. 5, par. 1, lett. a).

Inoltre, l’opposizione al Trattamento presentata dagli interessati è stata vanificata – a causa dell’erronea qualificazione dei ruoli – aggirando le procedure volte a tenere traccia di tale opposizione. L’acquisizione da parte del partner di un generico Consenso per attività promozionale di terzi non può ritenersi, infatti, sufficiente ad eludere la volontà di non essere (più) contattati, specificamente manifestata nei confronti di un altro Titolare del trattamento. Tale trattamento, pertanto, non ha garantito l’esercizio del diritto di cancellazione e di opposizione, in violazione degli artt. 17 e 21 del Regolamento.

2.2.2 ruolo di Ediscom nell’ambito dei contratti definiti di affiliazione

La vicenda descritta nel reclamo del signor XX ha portato alla luce una erronea qualificazione dei ruoli anche nel Trattamento posto in essere nell’ambito di rapporti contrattuali denominati di affiliazione. Anche in questo caso, le parti hanno ritenuto di distinguere tali ruoli in considerazione della differenza scaturita dagli accordi commerciali. Tuttavia, analogamente a quanto argomentato al punto precedente, il rapporto commerciale fra le parti non necessariamente ha rilievo anche sulla qualificazione dei ruoli nel Trattamento e, nel caso esaminato, l’Ufficio ha ritenuto che non ci fossero motivi per non ritenere che Ediscom avesse agito come autonomo Titolare ritenendo che la Società, in virtù del servizio commissionato dalla XX, avesse reperito liste di indirizzi email nel mercato al fine di realizzare un’attività promozionale, indipendentemente dal fatto che tali liste fossero entrate direttamente nella sua disponibilità o fossero state invece gestite per suo conto da un partner commerciale.

Come descritto sopra, nel caso in questione, tutti i protagonisti coinvolti si sono dichiarati responsabili del Trattamento addossando la titolarità unicamente alla XX, una società con sede in Inghilterra che non ha fornito alcun riscontro all’interessato, che non è stata in grado di documentare la raccolta di un idoneo Consenso e che, per quanto è dato comprendere, non ha fornito spiegazioni neanche ai propri partner commerciali.

Inoltre, l’Ufficio ha osservato la numerosità dei soggetti coinvolti nel Trattamento e la scarsa capacità di documentarne i singoli ruoli, tenuto conto che i dati del signor XX erano presenti nella banca dati della XX (ma non è dato conoscerne la provenienza) e sarebbero stati trattati sia dalla XX e sia dalla XX per essere infine messi nella disponibilità commerciale della Ediscom. In realtà, ognuno di questi soggetti è da ritenersi autonomo Titolare del trattamento, avendo una finalità propria e non rilevando la materiale apprensione dei dati.

Da tale comportamento è conseguito un rilevante limite all’esercizio di quell’auto-determinazione informativa che si esprime proprio attraverso il controllo che l’interessato può effettuare sui propri dati rispetto ai rischi di una dispersione o di un utilizzo non conforme alle finalità della relativa raccolta. Non può infatti ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole (purchè raccolta lecitamente) rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi dei Dati personali da un Titolare all’altro in maniera del tutto imponderabile per l’interessato stesso.

Di conseguenza l’Ufficio ha ritenuto che il Trattamento fosse stato effettuato in violazione del principio di liceità, correttezza e trasparenza in violazione dell’art. 5, par. 1, lett. a) del Regolamento. Inoltre, avendo comportato l’impossibilità per l’interessato di ottenere le informazioni richieste in merito al trattamento, aveva realizzato la violazione degli artt. 12 e 15 del Regolamento.

2.3 Idoneità delle verifiche effettuate sulle liste acquisite da terzi

Ediscom ha dichiarato di effettuare alcune verifiche sulle banche dati proposte dai partner e di richiedere per ogni contatto la data di acquisizione del Consenso e la prova dello stesso, consistente nell’indirizzo IP e nell’indicazione del portale da cui è avvenuta la registrazione del consenso.

Al riguardo l’Ufficio ha formulato le seguenti osservazioni:

a) la Società ha inteso documentare le verifiche effettuate producendo i print screen degli accessi effettuati ad alcuni siti dei fornitori di liste. Tali documenti riguardavano solo una piccola parte dei soggetti elencati alla voce DB Acquisiti (in allegato 9 al verbale del 23 novembre 2021) e non recavano indicazione della data di effettuazione delle verifiche;

b) da tali documenti si evince che la Società aveva preso visione delle informative presenti nei siti web dei partner; come evidenziato anche nel corso dell’accertamento ispettivo, nonostante nell’informativa di XX fosse palese la mancanza dell’indicazione di un rappresentante in UE, la Società aveva comunque dato seguito all’acquisizione;

c) Ediscom ha svolto attività promozionale anche utilizzando dati provenienti da XX. A tal riguardo, questo Ufficio aveva svolto alcune verifiche sui portali gestiti da tale soggetto per la definizione di un caso analogo (cui si rimanda per i dettagli) rinvenendo violazioni delle norme palesi e facilmente osservabili da chiunque operi nel mercato descritto (cfr. i provv. 25 novembre 2021, doc web n. 9736961 e provv. 25 novembre 2021, doc web n. 9737185). La Ediscom ha comunque utilizzato i dati provenienti da tale list editor nonostante l’assenza di idonee garanzie di liceità della banca dati;

d) in alcuni dei casi osservati tramite l’accesso al database di Ediscom è stato rilevato che, pur in presenza di dati di recente acquisizione (2020 o 2021), il Consenso risultava datato ad un periodo risalente e addirittura antecedente alla piena efficacia del Regolamento (2016 o 2017) senza che risultasse documentata l’effettuazione di verifiche volte a valutare l’idoneità del Consenso anche dopo il cambio del quadro normativo;

e) in molti casi segnalati al Garante - di cui era al corrente anche la stessa Ediscom per diretta interlocuzione con gli interessati – era stata evidenziata la frequente inconsapevolezza delle asserite iscrizioni, in alcuni casi disconosciute dagli interessati o relative a dati inesatti. Spesso è risultato abbinato alle utenze esaminate un nominativo diverso da quello dell’intestatario dell’utenza. Eppure la Società ha ritenuto sufficiente la documentazione del Consenso da parte dei partner tramite l’indicazione del solo indirizzo IP. Questa è una modalità che il Garante ha già ritenuto insufficiente a certificare la volontà inequivocabile degli interessati (cfr. il provv. del 26 ottobre 2017, doc. web n. 7320903 e i già menzionati provv. del 25 novembre 2021) esistendo invece alternative più idonee a garantire un maggior grado di certezza circa la genuinità della manifestazione del Consenso (come la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione).

Tutto ciò premesso, è stato ritenuto che Ediscom non avesse posto in essere tutti gli accorgimenti necessari a contenere il pregiudizio connesso al Trattamento agendo in violazione degli artt. 5, par. 2 e 24 del Regolamento.

2.4 acquisizione di un idoneo Consenso per l’invio di messaggi promozionali

In molti dei casi descritti non risultava acquisito e documentato un idoneo Consenso per finalità promozionali. Si richiamano innanzitutto i casi di XX e XX, già descritti, i cui dati sono stati trattati anche dopo l’opposizione manifestata nei confronti di Ediscom. Inoltre, con specifico riguardo al signor XX, si evidenzia come la società XX, da cui Ediscom ha acquisito la banca dati, abbia espressamente dichiarato di aver considerato come Consenso per finalità promozionali la semplice registrazione al proprio sito per partecipare ad una lotteria. È di tutta evidenza che una tale modalità non è affatto idonea a documentare la specifica volontà dell’interessato. Si richiama anche il caso del signor XX che ha ricevuto un’email promozionale senza che sia stato in alcun modo documentato un suo idoneo consenso. In tutti questi casi il Trattamento risultava effettuato in violazione degli artt. 6, par. 1, lett. a) e 7 del Regolamento nonché in violazione dell’art. 130 del Codice per l’invio di sms e email in assenza di consenso.

3. LA DIFESA DEL TITOLARE

La Società, nell’esercizio del diritto di difesa, ha fatto pervenire in data 1° giugno 2022 una memoria nella quale, chiarendo alcuni aspetti, ha indicato le misure correttive adottate.

In particolare, la Società ha preliminarmente chiarito di aver sempre prestato molta attenzione agli aspetti relativi alla tutela dei dati personali, orientando la scelta delle modalità operative verso soluzioni che, dopo adeguata ponderazione, sembravano offrire il giusto bilanciamento tra le garanzie per gli interessati e le esigenze commerciali dell’impresa. Infatti, pur dovendo tenere presente che l’acquisizione di dati di contatto e di idonei consensi al trattamento, costituisce un asset aziendale imprescindibile per l’attività di Ediscom, questa ha comunque cercato di adottare le migliori soluzioni disponibili per far sì che tali trattamenti, oltre che commercialmente utili, fossero anche leciti e rispettosi delle esigenze degli interessati.

In tale contesto, la Società ha ispirato le proprie scelte al quadro normativo vigente e all’interpretazione che di tale quadro è stata correntemente data dal Garante e dell’EDPB. Pertanto, la stessa ha ritenuto che le contestazioni mosse, di cui pure ha provveduto a prendere atto, non avessero tenuto conto del carattere innovativo di alcune pronunce, come i citati provvedimenti del Garante del novembre 2021 o le Linee guida sui dark pattern dell’EDPB, adottate in via definitiva solo dopo l’atto di avvio del procedimento.

Per tali ragioni, la Società ha evidenziato l’assoluta buona fede della propria condotta, come detto frutto di scelte ponderate, e ha assicurato di aver provveduto ad adottare diverse misure correttive; in particolare:

- ha provveduto ad adeguare la grafica dei pop up per la conferma del Consenso utilizzando un colore e un carattere analogo sia per l’accettazione che per il rifiuto osservando, però, che le Linee guida su Dark Patterns dell’EDPB sarebbero da intendere come prevalentemente destinate a regolare i trattamenti effettuati dai grandi social media mentre rischiano di essere di difficile applicazione per le piccole e medie imprese con la conseguenza di limitare eccessivamente le attività imprenditoriali di chi opera nel settore del marketing;

- ha introdotto dei correttivi per assicurare che, al momento della registrazione ai servizi, venga inviata all’utente un’email di conferma;

- ha avviato la revisione dei meccanismi di funzionamento del sistema che provvede alla creazione automatica di un profilo utente nel portale you.tipiace.it nell’ottica di migliorare la user experience e agevolare l’interessato nella gestione del proprio profilo;

- ha avviato la mappatura e, ove necessario, la rinegoziazione dei contratti in essere con i committenti delle attività promozionali per adeguarli alle indicazioni ricevute dal Garante in relazione ai ruoli nel trattamento;

- ha istituito una procedura aziendale per assicurare più puntuali verifiche sull’idoneità delle banche dati acquisite da terzi.

La Società inoltre ha evidenziato il fatto che già fossero presenti adeguate procedure per rendere riscontro in maniera tempestiva alle richieste di esercizio dei diritti.

Su altri aspetti dell’atto di avvio del procedimento, Ediscom ha ritenuto di dover replicare come segue:

1. con riguardo alla contestazione relativa alla raccolta di dati eccedenti (cfr. punto 2.1.2), la Società ha precisato che tutte le domande obbligatorie presentate in fase di registrazione, contrariamente a quanto eccepito dal Garante, sono da considerare collegate al servizio offerto perché “relative all’attività di Coregistrazione, intendendo con tale termine fare riferimento alla pratica, diffusa nell’ambito del marketing, che mira a generare e condividere un database di utenti, tra più aziende sponsor che vengono indicate nell’informativa sul Trattamento dei dati resa agli interessati”. Pertanto le domande sarebbero poste per verificare l’effettivo interesse del soggetto che compila il form e le risposte date non vengono registrate insieme ai dati dell’utente. Sempre a tal riguardo, la Società ha inteso precisare che, sebbene l’informativa indichi che, con il Consenso dell’interessato, possa essere effettuata una Profilazione orientata al marketing, tale Trattamento non è stato mai effettuato e il passaggio nell’informativa è stato formulato solo in via ipotetica. Ad ogni buon conto, la Società ha assicurato di aver apportato modifiche agli avvisi presenti nei regolamenti sui concorsi a premi precisando all’utente che la mancata risposta alle domande non pregiudicherà la partecipazione al concorso ma sarà funzionale alla ricezione di messaggi promozionali in linea con quanto indicato nelle risposte (se l’utente ha previamente acconsentito al Trattamento per finalità di marketing);

2. con riguardo ai portali www.testadiquiz.it e www.sullaneve.it la Società ha precisato che tali siti erano stati predisposti solo per attività di test senza essere finalizzati alla raccolta di dati e senza mai essere utilizzati a tal fine. Pertanto ha provveduto ad eliminare il sito www.testadiquiz.it e ad aggiornare il portale www.sullaneve.it (di cui desidera mantenere il nome a dominio);

3. in merito alle contestazioni mosse dal Garante per la raccolta di dati di soggetti presentati da altri utenti, la Società, ritenendo che tale Trattamento ricada nell’ambito personale e domestico, ha precisato che i dati del soggetto referenziato non vengono inseriti nel database di Ediscom ma vengono utilizzati solo per mandare un’e-mail con “un link alla pagina segnalata dall’utente amico. La comunicazione non contiene pubblicità, né inviti a rilasciare un Consenso alla ricezione di mail marketing e a seguito dell’invio nessun dato viene salvato o utilizzato ulteriormente”. La Società ha altresì chiarito di aver implementato tale funzione tenendo presenti anche una pronuncia dell’Autorità garante belgae un pareredel Gruppo di lavoro ex art. 29 in merito alla funzione “invita un amico”;

4. con riguardo ai profili creati automaticamente nel portale you.tipiace.it, la Società ha dichiarato – con riguardo a quanto rilevato dagli accessi effettuati d’ufficio dal Garante - che i consensi risultavano già selezionati perché “i dati di test utilizzati da codesta Autorità erano già stati in precedenza utilizzati da un altro utente test che aveva invece rilasciato tutti i consensi”. Ha comunque assicurato che le scelte indicate dall’utente all’atto dell’iscrizione ad un servizio vengono comunque mantenute anche nel portale you.tipiace.it; la Società ha inoltre chiarito che l’intento di tale procedura è solo di consentire all’utente di conservare in un unico punto di raccolta le proprie scelte in merito al Trattamento dei Dati personali e ai servizi offerti da Ediscom cui aderire. Ad ogni buon conto, preso atto delle indicazioni del Garante, ha avviato un processo di revisione della procedura al fine di renderla più chiara per l’utente;

5. con riguardo al ruolo di Ediscom nei database affidati in gestione, ha precisato di aver impostato la definizione dei ruoli sulla base di preliminari e approfondite valutazioni dell’effettiva attività svolta e, a conclusione, ha ritenuto di dover qualificare come Titolare del Trattamento solo il partner che conferisce la banca dati poiché è tale soggetto a stabilire le finalità lasciando ad Ediscom, che opera solo come intermediaria e che si qualifica come responsabile, la facoltà di scegliere i mezzi del Trattamento stesso; pertanto, agendo essa come Responsabile del trattamento, non si sarebbe verificata alcuna doppia cessione dei dati dopo il Consenso degli interessati;

6. con riguardo al ruolo di Ediscom nei contratti di affiliazione, la Società ha precisato che essa “agisce quale intermediario che  mette in contatto il proprio cliente (la domanda) con i propri fornitori o con i subfornitori degli stessi (l’offerta) senza porre in essere alcuna attività di Trattamento diretto dei dati, limitandosi a richiedere all’affiliato o alla società fornitrice di inviare una comunicazione ai propri utenti iscritti”; anche nel caso del signor XX, Ediscom non aveva reperito liste non avendo mai avuto la disponibilità dei dati. In particolare, nel modello di business in esame, Ediscom non accede ai dati degli interessati ma si limita a richiedere ai partner l’invio di messaggi promozionali per conto di terzi suoi clienti;

7. con riguardo al contestato invio di messaggi promozionali senza il Consenso degli interessati, Ediscom si è limitata ad osservare che la contestazione si basa sull’assunto che in mancanza del meccanismo di double opt-in il Consenso non sia da considerarsi validamente prestato senza tuttavia che esista uno specifico obbligo normativo che imponga di agire in tal senso.

Infine, il 18 luglio 2022 si è tenuta un’audizione con la quale Ediscom ha dato atto delle procedure aziendali avviate per garantire la conformità del trattamento. In particolare, la stessa ha chiarito di aver effettuato delle sessioni di formazione al personale e di aver incrementato le risorse umane destinate specificamente al controllo delle liste fornite da terzi oltre ad aver avviato ulteriori migliorie alla procedura di creazione del profilo utente nel portale you.tipiace.it.

In tale sede, Ediscom ha ribadito di ritenere che il suo ruolo nei contratti di affiliazione sia di Responsabile del Trattamento perché la Società si limita a mettere in contatto il committente e l’editore della lista senza determinare i mezzi. Analogamente, nei contratti di gestione di database, Ediscom riceve istruzioni da parte del Titolare proprietario del database stesso che specifica quali tipologie di campagne possono essere effettuate con quel database e con quali mezzi. Pertanto Ediscom è da ritenersi unicamente Responsabile del Trattamento poiché tratta i dati per conto dei propri committenti.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1 Utilizzo di modelli oscuri per aggirare la volontà dell’interessato

Come descritto al punto 2.1.1, dagli accessi effettuati d’Ufficio è emerso che le interfacce grafiche scelte per interagire con gli utenti presentavano delle impostazioni assimilabili ai cosiddetti “modelli oscuri” di recente descritti dall’EDPB nelle richiamate Linee guida.

La Società ha preso atto di quanto contestato con l’atto di avvio del procedimento e ha effettuato alcune modifiche rappresentando tuttavia che tale principio sarebbe stato espresso solo di recente e dunque non poteva essere conosciuto da Ediscom. Si deve tuttavia osservare che, al di là del fatto che siano state emanate le Linee guida (menzionate nell’atto di avvio del procedimento solo per maggiore chiarezza), l’esame delle modalità di realizzazione delle interfacce grafiche prescinde dalla qualificazione formale ed era valutabile in concreto anche prima che l’EDPB formalizzasse il principio dei Dark Patterns nelle Linee guida. Peraltro, il concetto può ritenersi innovativo solo nel contesto del Trattamento dei Dati personali nel mondo digitale ma la sua genesi risale al 2010 ed è stato più volte oggetto di valutazione, nell’ambito della tutela dei consumatori, dei meccanismi di condizionamento del consenso.

Del resto, nelle interfacce grafiche valutate dall’Ufficio, per le quali risultavano applicati meccanismi potenzialmente ingannevoli, era piuttosto palese l’intenzionalità e dunque la conoscenza di quanto si stava realizzando: ad esempio, non può ritenersi frutto di una scelta casuale l’uso di un carattere diverso per due scelte che dovrebbero essere alternative (e quindi rappresentate graficamente nello stesso modo). La scelta intenzionale di realizzare graficamente una determinata interfaccia presuppone anche si conoscano i meccanismi che interagiscono con le capacità cognitive dell’utente pertanto, anche senza voler dare un nome a tali meccanismi, non si può non ritenere che essi siano stati adottati al fine di aggirare la volontà degli utenti.

Per tali ragioni, si ritiene integrata la violazione degli artt. 5, par. 1, lett. a), 7 par. 2 e 25 del Regolamento dovendosi applicare una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

Infine, si ritiene opportuno fornire in via generale chiarimenti in merito all’applicazione del principio da ultimo descritto dall’EDPB nel tessuto imprenditoriale nazionale ed europeo.

Sono sicuramente degne di riguardo le osservazioni che Ediscom ha fatto in merito ai potenziali rischi per l’attività d’impresa nel caso di un’applicazione troppo rigida del principio espresso dall’EDPB soprattutto quando il Titolare non sia una grande multinazionale del web ma piuttosto una piccola e media impresa europea. Si deve tuttavia ricordare che ogni principio va declinato in maniera proporzionata nel contesto in cui trova concretamente applicazione senza necessariamente imporne un’applicazione incondizionata. Spetta però a questa Autorità verificare che i titolari si sforzino di trovare il giusto bilanciamento fra le necessità d’impresa e le garanzie per gli interessati, come peraltro ha fatto la stessa Ediscom apportando modifiche alle proprie interfacce in grado di soddisfare entrambe le necessità. Del resto, il beneficio atteso da un corretto Trattamento consiste anche nella maggiore fiducia da parte degli utenti con conseguenze positive che ricadono sull’intero mercato di cui beneficeranno gli stessi titolari. Senza contare che, a livello individuale, le misure di garanzia adottate da un’impresa che opera nel settore del marketing sono anche misura del livello di qualità offerto ai committenti titolari del Trattamento in grado di distinguere l’impresa dagli altri concorrenti.

4.2 Raccolta di dati eccedenti

Con riguardo a quanto contestato al punto 2.1.2, esaminate le considerazioni svolte dalla Ediscom nella memoria difensiva, non si rinvengono argomentazioni sufficienti a ritenere superate le contestazioni mosse dall’Ufficio. Innanzitutto, non si comprende in che modo la menzionata procedura di Coregistrazione – peraltro non documentata né rilevata dall’Ufficio in sede di accertamento - dovrebbe giustificare la raccolta dei dati. Si ricorda che l’Autorità ha preso visione di tutti i siti indicati da Ediscom come portali utilizzati per la raccolta dei dati personali. In tutti i casi, alla digitazione dell’URL, si raggiungeva un sito web, dal contenuto informativo o ludico, senza alcun riferimento a soggetti partner con, tutt’al più, dei banner pubblicitari. E tutti i siti visitati facevano riferimento ad un’unica informativa.

Inoltre, la tipologia di domande, estremamente eterogenea e dal medesimo contenuto in tutti i siti visitati, non consente di comprendere perché tali domande dovessero ritenersi orientate a dimostrare un particolare interesse dell’utente per un determinato sponsor: si ricorda che le domande poste in tutti i questionari osservati riguardavano il reddito percepito, le abitudini di acquisto, la composizione del nucleo familiare, l’età, la presenza di animali domestici o di bambini; vi erano inoltre alcune domande molto specifiche volte a rilevare l’interesse ad essere richiamati per prodotti o servizi di determinati committenti (connessione in fibra, servizi di pay tv, servizi finanziari). Se dunque l’intento della Società era soltanto di raccogliere tali specifiche manifestazioni di interesse, non si comprende l’utilità di porre anche le preliminari domande volte a determinare abitudini e capacità di acquisto (reddito, età, composizione del nucleo familiare, ecc.).

Peraltro, se l’intento della Società era la mera raccolta di uno specifico interesse, non era in alcun modo percepibile e non era reso noto agli interessati il fatto che altri soggetti sarebbero stati coinvolti nel Trattamento (in quanto committenti dell’attività promozionale e titolari del trattamento) né era possibile comprendere la reale finalità delle domande: all’utente veniva espressamente richiesto di compilare tutti i campi per ottenere il beneficio richiesto (un ricettario di cucina, un oroscopo, una newsletter, ecc.).

Le considerazioni svolte in sede difensiva non sono dunque sufficienti a superare le contestazioni mosse e risultano per di più contradditorie. Ediscom infatti dichiara che le risposte fornite dagli utenti sarebbero servite solo a verificare un estemporaneo interesse nelle proposte commerciali presentate senza essere successivamente conservate insieme ai dati dell’interessato. Ma nella stessa frase la Società dichiara che la modalità definita come Coregistrazione “è uno strumento molto efficace … perché genera un database di dati molto qualificato che raccoglie i dati di contatto di persone fortemente interessate a quel determinato prodotto o servizio”.

Allo stesso modo, la Società ha dichiarato di non effettuare attività di Profilazione degli utenti e di aver menzionato tale Trattamento nell’informativa solo per ipotetici utilizzi futuri senza perciò che fosse necessario acquisire anche uno specifico Consenso degli interessati perché l’attività non è stata mai realizzata in concreto. Tuttavia, nel disclaimer proposto per futuri utilizzi nei siti di concorsi a premi sarà chiarito che “ti verrà chiesto di rispondere ad alcune domande finalizzate a conoscere i tuoi interessi per sottoporti, qualora tu abbia deciso di acconsentire alla ricezione di comunicazioni di marketing, offerte in linea con quanto ci indicherai rispondendo alle domande”.

Osservando, per inciso, che un Trattamento meramente ipotetico non dovrebbe essere descritto nell’informativa (dovendo invece modificare l’informativa in caso di modifiche nel trattamento), un siffatto contesto non consente di escludere che gli utenti possano essere sottoposti ad attività di profilazione. Se pure questa Autorità ha compreso che la volontà effettiva della Società sarebbe solo quella di raccogliere il Consenso dell’utente ad essere contattato per una specifica proposta commerciale, si deve però notare che l’impostazione qui ricostruita consentirebbe anche, in astratto, di utilizzare i dati raccolti per ricostruire un profilo dell’interessato, dal momento che tra le domande figurano anche, come detto, richieste relative alla capacità di spesa e alle abitudini di acquisto (di cui altrimenti non si capirebbe il senso). Tale Trattamento tuttavia avverrebbe senza che l’interessato possa aver espresso uno specifico Consenso alla Profilazione per finalità di marketing, non essendo a ciò sufficiente il più generale Consenso (eventualmente espresso) a ricevere comunicazioni promozionali.

Per tali ragioni si ritiene di dover confermare le rilevate violazioni degli artt. 5, par. 1, lett. a), b) e c), 6 e 7 del Regolamento e si rende necessario, ai sensi dell’art. 58, par. 2, lett. b), rivolgere un ammonimento ad Ediscom riguardo al fatto che la procedura illustrata realizza un Trattamento che, a seconda dell’effettiva concretizzazione, può comportare la Profilazione degli interessanti senza che vi sia un corrispondente specifico consenso.

4.3 Raccolta dei dati nei portali www.testadiquiz.it e www.sullaneve.it

Pur confermando la pertinenza delle osservazioni mosse dall’Ufficio riguardo all’esame dei portali www.testadiquiz.it e www.sullaneve.it, si prende atto dei chiarimenti forniti dalla Società, che ha dichiarato di aver utilizzato tali siti solo per effettuare attività di test senza averli mai impiegati per la raccolta di dati personali. Tenuto conto delle assicurazioni fornite anche con riguardo alla volontà di revisionare il contenuto del dominio www.sullaneve.it e considerato che gli altri portali utilizzati dalla Società non presentavano le criticità qui rilevate, non si ritiene necessario adottare misure correttive.

4.4 Raccolta dei dati di soggetti referenziati

In replica alle contestazioni mosse dall’Ufficio, la Società, come detto, ha invocato il principio dell’household excemption espresso nel considerando n. 18 del Regolamento, citando ad adiuvandum una pronuncia dell’Autorità Garante belga. L’esempio citato tuttavia, non solo non è pertinente ma è anche contrario al fine interpretativo che la Società vuole raggiungere: il caso oggetto di esame riguardava un servizio di social networking che, per sua natura, gli utenti utilizzano per entrare in contatto con altri membri, tale per cui risulta verosimile attendersi che un utente del servizio possa invitare un altro utente di sua conoscenza. Questo non è nel caso del servizio offerto da Ediscom, dove l’utente è chiamato a compilare dei questionari per ottenere un beneficio e, incidentalmente, viene invitato ad inserire nome e indirizzo email di soggetti terzi potenzialmente interessati ad iscriversi allo stesso servizio.

Inoltre, la stessa pronuncia citata chiarisce che l’esenzione per attività personali o domestiche vale solo nei confronti degli utenti e non certo del Titolare (così come stabilisce chiaramente anche il considerando n. 18) al quale è sempre richiesto di fondare il Trattamento su una delle basi giuridiche dell’art. 6 del Regolamento. Inoltre, qualora la base giuridica sia stata individuata nel legittimo interesse del titolare, questi è tenuto a dimostrare di aver posto in essere adeguate valutazioni volte a dimostrare il bilanciamento degli interessi.

Si deve comunque prendere atto dei chiarimenti forniti dalla Società in fase difensiva dove ha chiarito che i dati dei soggetti referenziati non vengono conservati e non vengono utilizzati per inviare messaggi promozionali. Resta comunque il fatto che l’utente, in fase di compilazione, non è informato né del contenuto del messaggio che verrà inviato a suo nome, né delle modalità con cui il Terzo sarà contattato per suo conto. Allo stesso modo, il soggetto che riceve l’email di invito da parte del cosiddetto “amico”, non viene informato del Trattamento posto in essere dalla Società.

Tutto ciò premesso, si deve concludere che l’attività posta in essere da Ediscom con le modalità descritte non possa essere incardinata in nessuna delle basi giuridiche previste e pertanto sia effettuata in violazione degli artt. 6 e 14 del Regolamento. Di conseguenza, si rende necessario, ai sensi dell’art. 58, par. 2, lett. f), imporre a Ediscom il divieto di trattare Dati personali raccolti in assenza di un’idonea base giuridica.

4.5 Interazione fra i diversi servizi e registrazione contestuale dei dati

Richiamate le motivazioni espresse nell’atto di avvio del procedimento e le argomentazioni del Titolare in fase difensiva (qui sintetizzate al punto 4 del capitolo 3), restano perplessità in ordine alle modalità adottate per creare un profilo utente nel sito you.tipiace.it. Anche la giustificazione addotta dalla Ediscom riguardo al disallineamento dei consensi – che sarebbe dovuta al fatto che i dati di test utilizzati dall’Ufficio erano già stati usati da un altro utente – pare poco comprensibile e induce a credere che anche soggetti diversi dall’utente potessero accedere con facilità a profili già creati.

Pertanto, ritenendo sussistente la violazione degli artt. 5, par. 1, lett. a), 6 par. 1, lett. a) e 7 del regolamento, tenuto conto che la Società ha avviato un processo di revisione di tale procedura, si giudica sufficiente imporre, ai sensi dell’art. 58, par. 2, lett. f), il divieto del Trattamento dei Dati personali raccolti con le modalità descritte ove non sia possibile documentare un Consenso espresso liberamente dall’interessato.

4.6 Qualificazione dei ruoli nel trattamento

Come ricostruito al punto 2.2 (le cui argomentazioni si intendono qui richiamate) e tenuto conto di quanto sostenuto dalla Società nella memoria difensiva, non è possibile superare i motivi di contestazione espressi nell’atto di avvio del procedimento poiché la qualificazione di mero intermediario che la Società si è data non risulta sufficiente ad escludere che essa abbia trattato i dati in qualità di Titolare del trattamento, e non di responsabile, nel caso di liste affidate in gestione.

Come accertato in sede ispettiva, la banca dati di Ediscom è unica e alimentata da diverse fonti, compresi i database cosiddetti “in gestione”. I dati provenienti da tale tipologia di contratto entrano dunque a far parte del database che la Società utilizza per realizzare le campagne promozionali al pari di un database acquisito con contratto di acquisto o noleggio. Ne è prova anche il fatto che la Società, prima dell’acquisizione di tali dati dal partner, effettua un’attività di deduplica ovvero di raffronto con i dati già in suo possesso scartando questi ultimi dal computo della remunerazione dovuta al soggetto che affida il database.

L’erronea qualificazione di Responsabile ha fatto sì che la Società non registrasse le revoche del Consenso o le richieste di opposizione provenienti da soggetti i cui dati erano stati acquisiti da database in gestione con il risultato che, nei casi oggetto di istruttoria, sono stati inviati messaggi promozionali a soggetti che si erano opposti direttamente ad Ediscom.

Con riguardo invece ai casi in cui la Società sia parte di contratti di affiliazione, posto che non è stato sufficientemente chiarito il funzionamento di tale modello di business, si prende comunque atto del fatto che la Società, in fase difensiva, ha dichiarato di non aver formato liste a partire dalle banche dati dei partner XX e XX.

Tuttavia, occorre anche ricordare che non è la materiale apprensione dei dati a determinare il ruolo effettivamente svolto nel trattamento; pertanto la Società, a seconda dell’effettiva attività svolta può qualificarsi come Titolare o come Responsabile ma, avendo comunque un ruolo nel trattamento, non può ritenersi un mero intermediario commerciale. Volendo semplificare, si può ritiene che essa possa agire come contitolare quando acquisisce dati, a qualsiasi titolo, da inserire nel proprio database, mentre può ritenersi Responsabile del Trattamento quando invece esegue attività solo per conto dei committenti ma, in tal caso, resta Responsabile dei trattamenti affidati ad eventuali sub-responsabili, nei confronti del Titolare (che deve previamente autorizzare per iscritto).

In nessun caso essa si può identificare con “nessun ruolo” nel Trattamento né può ritenersi ammissibile una catena di soggetti coinvolti nel Trattamento della portata di quella descritta nel caso del reclamante XX e del committente XX dove, essendosi ognuno ritenuto privo di responsabilità, non è stato possibile rispondere adeguatamente alle istanze del reclamante e soprattutto documentare un idoneo Consenso (che, anche qualora fosse stato lecitamente acquisito non avrebbe potuto riverberare i suoi effetti su una catena indeterminata di soggetti).

Per tali ragioni si ritiene confermata la contestata violazione dell’art. 5, par. 1, lett. a) del Regolamento poiché il Trattamento effettuato non ha rispettato il principio di liceità, correttezza e trasparenza. Si deve comunque tenere conto che Ediscom si è attivata, rivolgendosi ai propri partner, per fornire risposte alle richieste del reclamante prima ancora dell’avvio dell’istruttoria da parte del Garante fornendo le risposte che era in suo potere dare ancorché insoddisfacenti.

Pertanto, tenuto conto anche delle assicurazioni fornite in merito all’avviata revisione dei contratti e dei ruoli, si ritiene sufficiente rivolgere alla Società un ammonimento, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, con riguardo alle violazioni conseguenti all’instaurazione di rapporti contrattuali che non siano accompagnati da una chiara definizione dei ruoli nel trattamento.

4.7 Idoneità delle verifiche sulle liste acquisite da terzi

Con riguardo a quanto descritto al punto 2.3, i cui contenuti si intendono richiamati, tenuto conto delle assicurazioni fornite dalla Società con la memoria difensiva e con le dichiarazioni rese in corso di audizione, si confermano per il pregresso le rilevate violazioni degli artt. 5, par. 2 e 24 del Regolamento.

Pertanto, tenuto conto della rilevanza assunta da tale trattamento, essendo preponderante l’apporto delle banche dati di terzi nel database di Ediscom ed essendo necessario intervenire in maniera proporzionata e dissuasiva, si ritengono integrati i presupposti per l’applicazione di una sanzione ammnistrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i).

4.8 Acquisizione di un idoneo Consenso per l’invio di messaggi promozionali

Riguardo alle puntuali osservazioni mosse dall’Ufficio in merito all’invio di comunicazioni promozionali che per alcuni reclamanti è risultato essere senza consenso, la Società si è limitata a ritenere che la contestazione sia basata unicamente sulla mancanza di un meccanismo di conferma del consenso. Occorre innanzitutto premettere che l’utilizzo della modalità double opt-in per la raccolta del Consenso non costituisce un obbligo di legge ma, come chiarito più volte dal Garante, deve considerarsi una misura adeguata, e disponibile allo stato dell’arte, per documentare la volontà dell’interessato. Ad ogni modo, non è su tale assunto che si sono fondate le contestazioni mosse dal Garante ma piuttosto esse hanno tratto origine dai fatti accertati in corso di istruttoria. Ci si riferisce in particolare ai casi dei reclamanti XX e XX, i cui dati sono stati trattati anche dopo l’opposizione al trattamento, ricordando altresì che, con riguardo al signor XX, i dati erano stati acquisiti dalla XX che ha espressamente dichiarato di aver considerato come Consenso la semplice registrazione al sito web. A ciò si deve aggiungere il caso del signor XX per il quale non è stato documentato alcun consenso.

Per tali ragioni, si rileva la violazione degli artt. 6, par. 1, lett. a) e 7) del Regolamento nonché la violazione dell’art. 130 del Codice e si rende necessario, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, infliggere una sanzione amministrativa pecuniaria alla Ediscom.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Ediscom, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, verificato, sulla base dell’ultimo bilancio disponibile, il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. l’ampia portata dei trattamenti tenuto conto che la banca dati detenuta da Ediscom al momento dell’attività ispettiva conteneva i dati di 21 milioni di interessati (art. 83, par. 2, lett. a), del Regolamento);

2. il grado di colpa del Titolare assimilabile al dolo eventuale nel caso dell’utilizzo di interfacce grafiche ingannevoli, dal momento che Ediscom ha agito intenzionalmente per indurre gli utenti a preferire alcune scelte piuttosto che altre; anche nel caso delle violazioni connesse all’inadeguatezza delle verifiche fatte sulle banche dati acquisite, stante il grado di competenza professionale della Società e di conoscenza del mercato, si ritiene che essa abbia agito con grave negligenza (art. 83, par. 2, lett. b) del Regolamento);

3. la maniera in cui l’Autorità di controllo ha preso conoscenza delle violazioni, emerse da alcuni reclami e nel corso di un’attività ispettiva (art. 83, par. 2, lett. h), del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. della gravità delle violazioni rilevate in considerazione del fatto che i Dati personali sono stati utilizzati solo per l’invio di comunicazioni promozionali, invio che è stato interrotto in caso di Revoca del Consenso espressa direttamente a Ediscom (art. 83, par. 2, lett. a), del Regolamento);

2. della tempestiva adozione di misure correttive dopo la ricezione dell’atto di avvio del procedimento (art. 83, par. 2, lett. c), del Regolamento);

3. dell’assenza di precedenti violazioni pertinenti commesse da Ediscom (art. 83, par. 2, lett. e) del Regolamento);

4. dell’elevato grado di cooperazione nell’interazione con l’Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento);

5. delle categorie di Dati personali interessate dalla violazione che ha riguardato solo dati anagrafici e di contatto degli interessati (art. 83, par. 2, lett. g), del Regolamento);

6. del fatto che la Società ha dimostrato di aver comunque prestato attenzione ai diritti degli interessati nella realizzazione dell’attività d’impresa, adottando precauzioni contrattuali in caso di cessione di banche dati a terzi e dimostrando di aver compiuto ogni sforzo possibile, quando interpellata, per fornire riscontro agli interessati prim’ancora dell’intervento del Garante comunicando le revoche dei consensi anche ai soggetti da cui aveva ricevuto i dati (art. 83, par. 2, lett. k), del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi alla Ediscom la sanzione amministrativa del pagamento di una somma pari a euro 300.000 (trecentomila), pari al 2% circa del fatturato riportato nell’ultimo bilancio disponibile.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione della serietà delle violazioni rilevate - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

Si ricorda infine che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del Trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

nei confronti di Ediscom S.p.A., con sede legale in via Vittorio Alfieri, 11, Torino, P.IVA/codice fiscale 09311070016,

a) ai sensi dell’art. 58, par. 2, lett. b), rivolge un ammonimento riguardo al fatto che la procedura illustrata al punto 4.2 realizza un Trattamento che può comportare la Profilazione degli interessanti senza che vi sia un corrispondente specifico consenso;

b) sensi dell’art. 58, par. 2, lett. f), impone il divieto di trattare dati personali, in particolare dei soggetti presentati da altri utenti, senza un’idonea base giuridica;

c) impone, ai sensi dell’art. 58, par. 2, lett. f), il divieto del Trattamento dei Dati personali raccolti attraverso l’interazione di diversi servizi ove non sia possibile documentare un Consenso espresso liberamente dall’interessato;

d) rivolge un ammonimento, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, con riguardo alle violazioni conseguenti all’instaurazione di rapporti contrattuali che non siano accompagnati da una chiara definizione dei ruoli nel trattamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Ediscom S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 300.000,00 (trecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 300.000,00 (trecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il Titolare del Trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 febbraio 2023

IL PRESIDENTEStanzione

IL RELATOREGhiglia

IL SEGRETARIO GENERALEMattei


Link: https://www.garanteprivacy.it/web/guest/home/docwe

Testo del 2023-05-25 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.







Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza