documento | 2023-03-07 · NEW: Appunta · Stampa · Cita: 'Doc 96495' · pdf |
Provvedimento dell'11 gennaio 2023 |
abstract:
documento annotato il 07.03.2023
I temi:
- soft spam e informativa
- indicare i terzi ai quali ceduti i dati personali
- nei contratti con i terzi indicare che sono titolari autonomi
Link: https://www.garanteprivacy.it/web/guest/home/docwe
analisi:
. ....:
- .... .... . ........... .. ......... .. ... ... ..... .
- ........ . ..... .. ..... ...... . .... .........
- ... ......... ... . ..... ........ ... .... ........ ........
.. ...... .. ..... ..... .. ....... .. ............... ............ . ......... .... .... - . ...... .... [.......].
... ................. ... ".... ...." ... ............. .. ..... ........... ............
....................... ....... ... ... .. ............. .. ... .............. ..., ..... . . ., ... ....... .. ..... .. ....... ... ........ .. ... .............. .. ... .......
... .. .... ..... ..........., ........, .......... ......... ................. ... .... ".... ....", .. ... .............. ..., ..... ., .. .... .. ....., .. .. ........ ... ........... ........, . .... .. ....... ....... .. ...... ........ . ......., .. .......... .. ..... ........... ....... ...................... ... ........ ..... ....... .. .. ........ . .. .. ........, .......... ... .......... .. ........ ....................... .........., ..........., ...... ... .. ...... .. ....... ........ . ...... ....... ..... ....... . ... ..................., ............. ........., ... ....... .... ....
.... ....
.'....... ...' .......... .... .... ..... ........ ........ .... .. ....... ............. . ... .. .' ........ .. ....'........... .... ........ .'.... ... ...... ....... ..... ..
.........: ........ .'.... ... ..... . . ... .. ......... ......... .... .... ......... .. .... .. ........
.. .............. .. .......... .. .... .......... . .... ........ ..... .. ........ ........ (......... ... ....... ......... .........) ........ ... ....... ............. ............ ... .-.... ........ . ....... .......... .......... ..... ..........., ... .. .......... .. .......... ........ .. ..... ... ....... ..... ..... ...... ........ .. ..... ........ ... ........ ..................... - ............., ... ...... ............ ........... .. .... ........., .. .............. .. ..... .. ........ . .... .. ................. .... .....
...
... ........ ..................... ..... .... ........., ........... ...... ......... .. ..... .........., .. ....... ...... .. ........ ... ......... ......... ... ........ ....... .......... ... ........... .... .......... ........ ............ .. ... .............. ..., ..... ., ... ......
........ . .....
.'....... .... . ..... . .... ..... ............ .. .. ............., ...... .. ........ ...... . ..........
.. .. ....... ........ .. ........ . ..... .. ..... . .... .... ....... .. ........... ... ... . ...... ... ......... .. ..... . . ..... ........ ............
...... .. ..... ........ ..... ....... ..., .............. ............. .. ....... ....... .......... .'........... .. .. ........ .......
.........: ..... ........ . ..... ........ ..... .. ......... . ... .. ....... .......
........ .............. ..... ...... .. .......... . .... ... ........ ..... ........... ... .... ...... ....... ... ....... ............. ........... ............ .. ...... ....... ........ .... . ........ ...... ... .... .... ......... ..... ........... .... .. ... .. ...... ... .... (.. ......) .. .............. ... .. ......... ........... ........... ........ ....... ...... ........ .. ......... ... ............ . ... ............... .. ......... ............. (..... ..... ............... .. ....... .. ......... .. .... .. ......... .. ..... ..... ...........). ... .... ... ....... .. ...... ....... ... .. ....... .. ................ ............ ........ .... ........ ........... ........... - ......... ............... .. ........ .. ............. .......... .. ... ........, .. ........... ....... ....... ... ...................... .. ........ ..... ........ . ........... . .. ......... .. ........... ... .... ........., ... .......... ......... ......... ..... . ........ ... ........ . .... ... ........ ........
........ .. ....... ......... .. .......... ............... .., .... ., ..... .) ... ........... ... ........ .... ....... ........... ... ... .......... ........ ...... ..... ... .. .............. .. ........ .......... .. ........ ............ ..... . ........ ..... . ..., ... .... ... ... ....... ........ ....... ..... ...... .......... .. ..... .. ............ ......... - .. ............ ........ ........... ... ........ ........ . ........... ......, .. ....... .. ...., .. ....... .. ..... ............ ....................... .. ... ........ ..............-.......... ., .......... ... ........... ................... ....... ......... ... . .......... ... .......... ......., .......... ...... ...........
......... ... . .....
.. ....... ...... ... ......... ... . ..... .. ........ ... .... ........ ........ . ... ...... ........ . .... . ..... ...... ... .... ............ ... ............ .......... .......
...... .... . ..... . ..... ... ....... .. .......... ....' ...... .. ...... .... ............ ... ..........., ..... .. .... ....... ......., ........ . ... .......... ...... ..... ........ .... ........ ......... ....' . ...' .......
.........: ... .... ...... . ....., . ..... .... ........ ........, ... ............ ... ............ ... ......... ..... ......... . ........ . .... . ..... .. ......
......... ..... ........., ... ....... ... ....... ... .. .......... .. .........:
........ ...... ... .. .............. ......... . .... ... ........, ... ..... ......... ... ......... ........, . ..... ... .......... .... .... ... ............... ............. .... ........ ....., ....... .. .............. ...... .. ......, .. ...... .... ....... .. .............. .. ............ ... ............ .... ............ ... ..... ........ ... ....... ........ ............. ...... .................. ... .. ....... .. ........ ........... ............ .... ............... .. ............... . .. ......../.............. .. .... .... ........ .. .......... .. ........ ... .. ...... .. .... ........ .. .. ........ ... ..... ... ..... .. ...... ., .......... .............., ... ........ .. ........... .. .... ......... ... ..... .. ....... ......, .. ........ ..... ... .......... . ...., ............ .. ................. ... .......... ... ....... ..... .... ./. ... ........ ............... ............ ... ..... .. ...... ..........., ....... .. ....... .. ........ ... .. ........ ... .......... ... ...... . . .... ....... ........ .............. ............. .. .. ........ ... ........ ........ ... ........... ............. .. ....... ... ........ ..... ........... ... ..... .. ...... .. ...... ........................ ... .. .... . ...... .... ... ..... .. ..... ........... ..... ........ ..... ....... ..... ... ..... ... ........... ... .... ..........
...
.. .... ........ .... .... ... ..... ... .. .............. .. ........ .. ..... ............. ......... . ...... ....... ........... .... ............ ... ........... ............. .... ......... ........ .. .......... ...... .. ....... ........ ........ .. ......... ..... ...... .... ........ .. ..... .......... ........ .......... ..... .. ....... ..................... .. ........ ............. ........, .... ............. ........ .. ......... ... .......... ...... ........... ........... .. ....... ......... . ..... ........ ..... ......... .. ....... .. .......... ... .... ........., .. .......... ........ ....... ............. .......... ......... .......... ............ (... .. ...... ...... .. ..... .. ......) ..., ..... .. .. ........ ... ........ . ........, ....... ......... .. ........ ........ ..... ...... .....
.... ... ..... ...... ....... ....... ..... .../.... .......... .. ..... .../....
............. ............
.. ..... ........ ...... ......... ..... ........ . . .. ... ....... ........... . ...... ...., .. .., ........... .. ....... ............. .. ........ . .. ............. .. ........ ..... .................. .. .. ......... ... ............. .. ......... ............. . .. ....... ....... . ... .. .......... .. ........ .. ....... . .. ............. ........... ........ .......... ... .. ........ ... .......... . ....... ..... .. .... .... ..... ...... ........ ................... ., ..... .., ..... ..... .. ....... ...., .. ..
.. .. ............ .. ... .. ..... . .. ....... ..... .... ............. ............, .......... ... .. ............... ... ........, ........ ..... ..........., ......., ........ ... .... ... (.......... ......... .......) . ... (..... ....... .......) . .. ..... .....
.. ..... ... .... .. ... .. ..... . . ., ......... ............. ... .. ............... .. ... .. ........ ..... .......... ... ..... ....... .. ...... ... ........, .... .......... .. ..... ..... ........ . . . ... ........... ............. .. ..... .. ...... ........ ... ..... .-....
.-.... .. ...... . ...... ........ ............... ..., .. ........... ... .... .. ... .. ..... . ... ........ ........, ........ ............... ... ........ . ..... ..... ........ ... .. ............... .. ..... .. ......... ............. . .. ....... ....... . ... .. .......... .. ........ .. ....... . .. ............. ........... ........ .......... ... ......... .. ... ... ..... .......... .. ....... .. ..........., ... ............... ............ . ..... .. ... .........., ........ .................. ..... ........... ..... ..... ........ ............ . ..... ..... .... ......... .. ... .................. ..., ..... ., .. .. ........ ........ ..... ............
.-.... .. ........ .. ... .. ..... .-... ........ ......... ... ....... ... .......... ..... .......... .. ........ .. ..... ................... .., ..... ., ..... ..... .. ...... ...., .. ..., ...... ............. ... ......... ... ........, ......... .. ...... ... ......... .. ..... . ..... ........... ............ .......... .. ......., ... .. ........... ..... ...... ...... ..... ........., ............., ... . ........ ....... .. .........., .. ...... .......................... ... .. ........ ..... ............., ... .. ....... ..... .. ........ ......., ....... . ........ ....... . ............... ........:
.) ............ ...................... . ..... ........ ... ........ .. .. .... . ......... ........ ........ .. .......... ........ .... ........
.) .......... ... ............ . ......... ........ ..................... . .... ........ ... ........ .. ........ ... .. ....... ..... . ........... .. ... ....... . ........... .. ............. . .. ........ . ....., ... .. .. ........ ........... ... ..... .......... . ............., ........ ......... .. ........, ... ........ ... ...... ... ......... ........ .. ... .. ....... ........... .. ...... ...., .. ... . ........ ... .. ......... ... ........ ... .......... .. ............. ............. ....... .. ....... ...... ..... ......... ..... .. ............. . .. ............. .. ........ ..... ........ ........., ... ....... ............., ......... .... ........
.) .......... ... .. ............... ........ .. ............. ... ........ .......... .. ................ .. ........ ... ... ........ .. ........... ..... ..... ........ ............ ....... ............... ............ .. ..... .. ... .......... . ...........
.) .......... .. ............... ........ .. ............. . .. ....... .. ........ ........ .............. ......... ... ... .......... .. ............. ... .... ........ ... ........ ......, .......... .. ............ ..... .......... ........ . .. ............. ... .... ........ .... ........
.) .......... ..... ........... . ..... ............... ..................... .. ........, ..... ........... .. ....... .. ............... . .. ......... ............, . ... ........ ............., ............. ... ........... ....... ....... .. ..................... ... .... .......... ... ........ ........, ............ ... .................. ..... ...... .......... . ... .......... .. ......... ......., ........ ......... .. ...... ........ . ..............
.) ....... ... . ........ ... .......... ........... .. .... ... .. ............... .. ..... .. ......... ............. . .. ....... ....... . ... .. .......... .. ........ .. ....... . .. ............. ........... .. ......... .. ............. .......................... ..... ..... ......... . .. ....... ................ ...... ..........., .. ........... ..... .................. . ..... ............... .. .......... ... ........ ... ....... . ...... .........
.) .......... ... .................. ... ........ ... ........ . ........... ... .... .......... ......... . ........ ... ........ ..... ........ . . . ... ............
.-....... .. ......... . .. ......... ......................... . .. ............. ... ........ .. ... .. ..... .-... . ... ........... ... .... .... .......... .. ........
.. ..... ..... ...... ........ ... ..... ., .. .. ........ ... ........... ........, . .... .. ....... ....... .. ...... ........ . ......., .. .......... .. ..... ........... ....... ...................... ... ........ ..... ....... .. .. ........ . .. .. ........, .......... ... .......... .. ........ ......................, ...... ... .. ...... .. ....... ........ . ...... ....... ..... ....... . ..................., ............. ........., ... ....... .... ..., ............ . .. ......... .. .......... .............. ..................., .. ....... ..... ........ . .. ......... ................ .. .... ............. .......... ... .. ............... .. ... .. ........ ....., ........ ......... ..... .................. .. ....... .. .... ....... .. ..........., .. ....... ....... . ..............
.. ........ ....... .. .... .... ............. .. ............. ... .. ............... .. ... .. ..... . ., ........, . ..... ............, .......... .......... . ....... ....................... ... ........ . .. .......... ................... . ... ....... ........... . ...... ...., .. .., . ..... ....... .. ...... ........ ...... .. ..... ................... ..... .......... . ....... .. ... .... ........ .. .. . .. ... ..........., ...... ......... . ........... . ........ .... ... ... ....... .. ........ ........ . ... ....... ........... .. .. ... .....
.. .. .... .. ......... .......... ..... ............ .. ... .. ........ ........ .. ....... .........., ........... .. ..... ................... .. ... ........... .............. ........... . ......... .. ....... .. ............. ........... .. ........ ......... .. .......... . ..... ...... ........... ............. .... .......... .. ..... ........... .. ... .... ..... ....... .. ..............
index:
Indice
- .. ...... .. ..... ..... .. ....... .. .
- .... ....
- ........ . .....
- ......... ... . .....
- .... ... ..... ...... ....... ....... ..
- ............. ............
- Provvedimento dell'11 gennaio 2023
- IL GARANTE PER LA PROTEZIONE DEI DATI PE
- PREMESSO
- 1. L’ATTIVITÀ ISTRUTTORIA
- 2. LA CONTESTAZIONE DELLE VIOLAZIONI
- per finalità di marketing.
- dei dati personali
- 2.3 Ruoli dei soggetti coinvolti nel tra
- al trattamento
- 3. LA DIFESA DELLA SOCIETÀ
- per finalità di marketing
- dei dati personali
- 3.3 Ruoli dei soggetti coinvolti nel tra
- al trattamento
- 4. VALUTAZIONI DI ORDINE GIURIDICO
- per finalità di marketing
- dei dati personali
- 4.3 Ruoli dei soggetti coinvolti nel tra
- al trattamento
- TUTTO CIÒ PREMESSO, IL GARANTE
- DISPONE
testo:
estimated reading time: 20 min
[doc. web n. 9861941]
Provvedimento dell'11 gennaio 2023
Registro dei provvedimentin. 9 dell'11 gennaio 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei Dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA
Nei giorni 7 e 8 marzo 2022 sono stati effettuati accertamenti ispettivi presso la Società Bakeca S.r.l. (di seguito “Bakeca” o “Società”) al fine di verificare le modalità di raccolta dei Dati personali tramite il sito di annunci economici www.bakeca.it, con particolare riguardo all’utilizzo di tali dati per finalità di marketing anche tramite cessione a terzi. L’accertamento è stato avviato d’ufficio in base alla pianificazione delle attività ispettive del Garante per il primo semestre 2022 (Deliberazione del 22 dicembre 2021, in www.garanteprivacy.it, doc web n. 9737049).
Successivamente, la Società ha fatto pervenire al Garante le informazioni integrative oggetto di riserva con nota del 18 marzo 2022.
Da tali attività è emerso che la Società alimenta il proprio business prevalentemente attraverso la vendita di servizi connessi alla pubblicazione di annunci economici (servizio gratuito ma con funzionalità aggiuntive a pagamento). In misura min ore, utilizza per finalità di marketing i Dati personali dei soggetti iscritti al portale www.bakeca.it e dei soggetti, anche non iscritti, che fruiscono dei servizi per pubblicare annunci o rispondere ad essi. In particolare, previo Consenso specifico e informato, i dati degli utenti possono essere utilizzati per finalità di marketing di Bakeca oppure per la cessione a terzi per autonome finalità di marketing.
Nel corso degli accertamenti sono state verificate – anche attraverso la simulazione di alcune registrazioni e l’esame dei contratti - le modalità di Trattamento dei dati raccolti per finalità promozionale con i seguenti risultati:
- la Società trasferisce i dati a terzi per finalità promozionali sulla base di uno specifico Consenso da parte degli interessati; nella maggior parte dei casi detti terzi sono nominati responsabili del trattamento;
- la volontà dell’utente di procedere con l’iscrizione al sito è verificata attraverso l’invio di una richiesta di conferma dell’indirizzo e-mail e di una successiva comunicazione per confermare l’avvenuta registrazione;
- per gli utenti non registrati che utilizzano i servizi del sito web per rispondere ad annunci economici è previsto comunque l’invio di una e-mail volta a rendere edotto l’utente delle attività svolte nel sito (come ad esempio la risposta ad annunci);
- in caso di trasferimento o noleggio delle liste, la Società adotta apposite previsioni contrattuali a tutela delle liste stesse per evitare che gli interessati siano raggiunti da un numero eccessivo di contatti promozionali e per evitare che le liste siano utilizzate oltre il termine concesso, in caso di noleggio;
- la Società ha adottato idonee procedure per recepire le richieste di esercizio dei diritti e le revoche dei consensi da parte degli interessati, consentendo la presentazione delle istanze attraverso diversi canali, compresa la gestione tramite l’area personale.
Limitatamente a quanto oggetto di verifica è emerso un quadro di complessiva attenzione alla tutela dell’interessato con l’adozione di modalità del Trattamento adeguate allo stato dell’arte, fatti salvi alcuni aspetti meritevoli di maggiore approfondimento di cui si dà conto di seguito.
2. LA CONTESTAZIONE DELLE VIOLAZIONI
Sulla base delle risultanze dell’attività ispettiva, con nota del 22 settembre 2022 è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice.
In tale sede, l’Ufficio ha rilevato alcune criticità o aspetti meritevoli di miglioramento come di seguito descritto.
2.1 Base giuridica del trattamento per finalità di marketing.
Dall’esame del testo dell’informativa (cfr. all. 9 al verbale del 7 marzo 2022) si evince che la Società potrà utilizzare i dati raccolti tramite il sito www.bakeca.it per “finalità di marketing relative a servizi / prodotti analoghi a quelli da Lei richiesti” sulla base del Legittimo interesse del Titolare utilizzando “modalità automatizzate di contatto (posta elettronica, sms e altri strumenti di messaggistica massiva, ecc.) e modalità tradizionali di contatto (ad esempio, telefonata con operatore)”.
A tal proposito si è richiamato quanto disposto dall’art. 130, comma 4, del Codice che disciplina le ipotesi di cosiddetto Soft Spam ammettendo, al ricorrere di specifiche condizioni, l’invio di comunicazioni promozionali senza il Consenso dell’interessato ma esclusivamente attraverso il canale e-mail. Tale disposizione, di carattere speciale, non è suscettibile di interpretazione estensiva. Pertanto, ogni comunicazione promozionale effettuata al di fuori di tali condizioni e utilizzando un canale diverso dall’e-mail, ricade nella più generale disciplina dell’art. 130 del Codice, rendendo necessaria l’acquisizione di un idoneo Consenso anche quando si tratti di comunicazioni volte a promuovere prodotti o servizi analoghi a quelli già forniti all’interessato.
Tenuto conto che la Società, con riguardo a tutti gli altri trattamenti per finalità di marketing ha correttamente previsto di basarsi sul Consenso dell’interessato, con riguardo alle comunicazioni inviate per promuovere prodotti e servizi analoghi a propri clienti, se effettuate con le modalità suddette, si è rilevato l’utilizzo di una base giuridica (il legittimo interesse) non idonea; ne consegue che le comunicazioni promozionali eventualmente già inviate in condizioni diverse da quanto previsto dal comma 4 dell’art. 130 (tramite canali diversi dall’e-mail), sarebbero state effettuate in violazione di legge.
Per tali ragioni si è ritenuto potesse integrarsi la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice.
2.2 Informativa sul Trattamento dei dati personali
Sulla base di quanto rappresentato al punto precedente, l’informativa resa agli interessati, con riguardo al punto c) delle finalità, appariva inidonea poiché richiamava una non corretta base giuridica.Inoltre, sempre con riguardo al testo dell’informativa fornito nel corso dell’attività ispettiva, si è osservato che la lista dei soggetti terzi cui i dati potevano essere trasmessi per finalità promozionali, pur indicando in dettaglio i nominativi di detti terzi, non riportava i riferimenti dei due partner comunicati in apertura del verbale dell’8 marzo 2022 (XX e XX Srl).
A tal proposito, si è richiamato quanto disposto dall’art. 13, par. 1, lett. e) del Regolamento, che impone al Titolare di informare l’interessato circa gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali. In aggiunta, si deve tenere presente che, se tali dati fossero utilizzati per veicolare comunicazioni promozionali tramite il canale telefonico, l’art. 1, comma 8, della legge 11 gennaio 2018, n. 5, imporrebbe di comunicare agli interessati gli estremi identificativi del soggetto a cui saranno trasferiti i dati relativi alle numerazioni telefoniche.
Per tali ragioni, si è ritenuta integrata la violazione dell’art. 13, par. 1, lett. c) ed e) del Regolamento.
2.3 Ruoli dei soggetti coinvolti nel trattamento
Dall’esame dei contratti forniti nel corso dell’attività ispettiva e sulla base di quanto riportato a verbale, è emerso che la Società trasmette i dati degli utenti, che hanno conferito uno specifico consenso, a terzi che utilizzano tali dati per finalità promozionali. Tali soggetti terzi, secondo la qualificazione scelta da Bakeca, in alcuni casi operano in qualità di Responsabile del Trattamento secondo il modello di business definito di “gestione di database”, mediante il quale un soggetto, in questo caso Bakeca, si occupa della raccolta di anagrafiche con Consenso per finalità di marketing e un altro soggetto, in questo caso uno dei partner di Bakeca, si occupa di “valorizzare” tali dati veicolando messaggi promozionali di altri committenti. L’Ufficio, ritenendo non corretta tale attribuzione dei ruoli, ha contestato il fatto che il Trattamento fosse in contrasto con i requisiti di liceità, correttezza e trasparenza, in violazione dell’art. 5, par. 1, lett. a).
2.4 Modalità di acquisizione del Consenso al trattamento
Come osservato esaminando il sito www.bakeca.it nel corso delle attività ispettive (cfr. all. 8 al verbale del 7 marzo 2022), per registrarsi al sito o anche solo per pubblicare/rispondere a un annuncio viene chiesto all’interessato di esprimere la propria volontà attraverso la spunta delle seguenti tre caselle:
Solo il primo flag è obbligatorio in quanto riferito alla presa visione dei termini contrattuali e dell’informativa sul Trattamento dei dati personali. Se, in generale, tale impostazione è parsa corretta perché se ne se sono compresi gli intenti, si è dovuto tuttavia rilevare che la complessiva formulazione della richiesta non era altrettanto corretta e rischiava di non essere compresa dall’interessato al momento dell’espressione della propria volontà. Infatti, la frase “…ed acconsento al Trattamento dei miei dati per le finalità connesse alla fornitura del servizio obbligatorio” è contraddittoria poiché richiama la (corretta) base giuridica dell’esecuzione del contratto e allo stesso tempo invoca la (non corretta) base giuridica del consenso, trasformando una generica richiesta di confermare la presa visione in una sorta di, non dovuta, espressione del Consenso al trattamento.
Per tali ragioni l’Ufficio ha ritenuto che tale formulazione, contraria ai principi di liceità, correttezza e trasparenza, avrebbe potuto integrare la violazione dell’art. 5, par. 1, lett. a) del Regolamento.
3. LA DIFESA DELLA SOCIETÀ
Con nota del 20 ottobre 2022 Bakeca ha fatto pervenire una memoria difensiva, i cui contenuti si intendono qui integralmente richiamati, nella quale ha fornito dettagliati chiarimenti in merito alle contestazioni mosse dall’Ufficio, dando atto di alcune misure correttive già adottate con particolare riguardo ai seguenti punti oggetto di contestazione.
3.1. Base giuridica del trattamento per finalità di marketing
La Società ha dichiarato che la menzionata base giuridica del legittimo interesse, invocata in espressione della deroga offerta dall’art. 130, comma 4, del Codice, è stata utilizzata unicamente per l’invio di comunicazioni via e-mail aventi in gran parte ad oggetto le funzionalità del servizio acquistato e, in alcuni casi, la proposta di servizi aggiuntivi ad esso o di livello superiore.
3.2 Informativa sul Trattamento dei dati personali
Richiamando quanto chiarito al punto precedente, la Società ha ritenuto corretta l’indicazione della base giuridica del Legittimo interesse nell’informativa, poiché le modalità del Trattamento riguardavano solo l’invio di comunicazioni via e-mail.
Inoltre, con riguardo ai due partner non indicati nominalmente nell’informativa, la Società ha chiarito che, stante il ruolo di intermediari da questi ricoperto, essa aveva provveduto ad indicare solo i destinatari finali dei dati credendo in buona fede che fosse sufficiente. Inoltre, Bakeca ha dichiarato che, per la sola società XX, non era prevista contrattualmente la trasmissione di numerazioni telefoniche, pertanto con riguardo ad essa non si applica la più stringente previsione dell’art. 1, comma 8, della legge 11 gennaio 2018, n. 5, che impone di comunicare agli interessati gli estremi identificativi del soggetto a cui saranno trasferiti i dati relativi alle numerazioni telefoniche.
3.3 Ruoli dei soggetti coinvolti nel trattamento
La Società ha ritenuto di aver agito nella maniera migliore per garantire il controllo sul Trattamento inserendo puntuali istruzioni nei contratti sottoscritti con i partner che, per le attività denominate di gestione di database, sono nominati responsabili del trattamento.
3.4 Modalità di acquisizione del Consenso al trattamento
La Società ha confermato che il primo flag richiesto tra le formule di espressione del Consenso era effettivamente volto solo a confermare la presa visione dell’informativa. Ad ogni buon conto, recependo le indicazioni contenute nell’atto di avvio del procedimento, ha provveduto a modificare le formule di richiesta del Consenso al fine di renderle più chiare per gli utenti.
4. VALUTAZIONI DI ORDINE GIURIDICO
Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui il sottoscrittore risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.
4.1 Base giuridica del trattamento per finalità di marketing
Tenuto conto del fatto che la Società ha assicurato di aver utilizzato i dati raccolti senza un espresso Consenso (basandosi sul proprio legittimo interesse) soltanto per inviare comunicazioni promozionali via e-mail inerenti a servizi già acquistati dagli interessati, non si rinvengono le violazioni indicate al punto 2.1 – fatto salvo quanto indicato al punto seguente con riguardo all’informativa - perché, pur avendo erroneamente qualificato la base giuridica, la Società di fatto ha trattato i dati in conformità alle norme. Si deve infatti ricordare che l’invio di comunicazioni promozionali tramite strumenti di comunicazione elettronica è disciplinato dall’art. 130 del Codice, in recepimento dell’art. 13 della direttiva 2002/58/CE, che costituisce una lex specialis dove l’unica base giuridica ammessa è il Consenso dell’utente salvo alcuni casi, tassativamente descritti, di deroga. Una di queste deroghe è contenuta nella disposizione di cui all’art. 130, comma 4 del Codice che consente l’invio di comunicazioni promozionali esclusivamente tramite e-mail. In questo caso, il Titolare può non richiedere il Consenso dell'interessato, se si tratti di servizi analoghi a quelli oggetto della vendita e se l'interessato, adeguatamente informato, non rifiuti tale uso inizialmente o in occasione di successive comunicazioni.
4.2 Informativa sul Trattamento dei dati personali
Con riguardo all’indicazione della base giuridica, richiamando quanto descritto al punto precedente, si ritiene errata la menzione del Legittimo interesse del Titolare essendo necessario far riferimento alla più corretta disposizione di cui all’art. 130, comma 4, del Codice. Si deve comunque tener conto del fatto che tale condotta non ha comportato danni per gli interessati e che la menzionata disposizione, costruita come deroga al presupposto del consenso, costituisce di fatto un riconoscimento del Legittimo interesse del Titolare con un bilanciamento degli interessi effettuato ex lege; pertanto si ritiene sufficiente, ai sensi dell’art. 58, par. 2, lett. d), ingiungere a Bakeca di modificare il testo dell’informativa al punto c) delle finalità del trattamento, indicando che il Trattamento è effettuato in conformità all’art. 130, comma 4, del Codice purché l’interessato non rifiuti tale uso inizialmente o in occasione di successive comunicazioni.
Riguardo invece alla mancata indicazione dei soggetti terzi cui i dati sono stati trasmessi per finalità di marketing, si osserva che l’art. 13, par. 1, lett. e) del Regolamento impone al Titolare di indicare gli eventuali destinatari o le categorie di destinatari dei dati personali. Inoltre, se il Trattamento dei dati viene effettuato per finalità promozionali attraverso il canale telefonico, l’art. 1, comma 8, della legge n. 5/2018 impone che, in caso di cessione a terzi di dati relativi alle numerazioni telefoniche, il Titolare del Trattamento debba comunicare agli interessati gli estremi identificativi del soggetto a cui i medesimi dati sono trasferiti.
Ne consegue che la Società avrebbe dovuto indicare i soggetti o le categorie di soggetti cui i dati sarebbero stati trasferiti per l’invio di dati che non comprendessero numerazioni telefoniche; avrebbe invece avuto l’obbligo di indicare “nominalmente” i destinatari in caso di trasferimento di numerazioni telefoniche.
Dalla memoria presentata da Bakeca si rinviene che la Società aveva scelto di pubblicare i nomi dei soggetti terzi destinatari dei dati avendo escluso due partner perché considerati intermediari ed avendo difatti indicato solo i soggetti ultimi cui tali dati sarebbero stati comunicati. Solo in uno di questi due casi (XX S.r.l.) la Società non ha trasmesso numerazioni telefoniche pertanto avrebbe potuto indicare la categoria del Destinatario e non necessariamente la specifica denominazione (fatto salvo l’obbligo di fornire il dettaglio in caso di richiesta da parte degli interessati). Nel caso del partner XX invece – che in assenza di un’analoga precisazione dovrebbe aver ricevuto numerazioni telefoniche - ricorreva l’obbligo di indicare la denominazione specifica. In via generale, il Regolamento dispone infatti che nell’informativa il Titolare debba indicare i destinatari o le categorie di destinatari dei dati personali, con ciò dovendosi intendere tutti i soggetti che ricevono i dati dal Titolare cedente.
Pertanto si ritiene integrata la violazione dell’art. 13, par. 1, lett. e) del Regolamento con riguardo alla mancata indicazione dei due menzionati partner. Tenuto conto che la Società ha comunque provveduto ad indicare nominalmente tutti i soggetti terzi e che, nel caso dei due partner indicati – dalla stessa comunicati in corso di accertamento ispettivo - ha erroneamente ritenuto sufficiente che bastasse indicare i destinatari finali, in assenza di dolo, si ritiene di poter soprassedere dall’applicazione di una sanzione amministrativo-pecuniaria e, verificato che attualmente l’informativa risulta integrata con i nominativi dei menzionati partner, può essere sufficiente, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolgere un ammonimento a Bakeca in merito al fatto che la mancata indicazione nell’informativa agli interessati dei soggetti che ricevono i dati costituisce una violazione del Regolamento poiché non consente agli interessati stessi di avere contezza del Trattamento e, di conseguenza, di prestare un idoneo Consenso e di esercitare i propri diritti nei confronti di chi detiene i propri dati.
4.3 Ruoli dei soggetti coinvolti nel trattamento
Dall’esame dei contratti forniti nel corso dell’attività ispettiva e sulla base di quanto riportato a verbale, si evince che la Società trasmette i dati dei soggetti, che hanno conferito uno specifico consenso, a terzi che utilizzano tali dati per finalità promozionali. Tali soggetti terzi, secondo la qualificazione scelta da Bakeca, in alcuni casi operano in qualità di Responsabile del trattamento. Tale attribuzione dei ruoli tuttavia non risulta corretta poiché basata sull’assunto che il modello di business comunemente identificato come attività di intermediazione o di gestione/valorizzazione di data base consenta di assimilare il soggetto che si occupa di tale gestione ad un soggetto che opera per conto di Bakeca o, più specificamente, che effettua un Trattamento di Dati personali per conto di Bakeca. Invece, il soggetto Terzo che acquisisce i dati, generalmente li utilizzerà per arricchire una propria banca dati e/o per svolgere attività promozionale per conto di propri committenti, diversi da Bakeca. Ne consegue che il rapporto che intercorre tra Bakeca e i tali partner è verosimilmente riconducibile ad un rapporto fra autonomi titolari del Trattamento poiché il partner non effettua alcun Trattamento per conto di Bakeca ma esegue un’attività che lo lega a Bakeca solo dal punto di vista commerciale senza tuttavia avere rilievo anche sui ruoli nel Trattamento dei dati personali. Come meglio chiarito nelle Linee guida 7/2020 dell’EDPB, indipendentemente dalla qualificazione contrattuale dei ruoli, è Titolare il soggetto che determina le finalità (why) e i mezzi, cioè le modalità (how), del trattamento; è invece da considerarsi Responsabile il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza tuttavia poter esercitare alcuna facoltà in ordine alla scelta delle finalità del trattamento.
In tale ricostruzione dei ruoli, il soggetto che acquista la banca dati da Bakeca – che, come detto, nel rapporto con Bakeca è di fatto un Titolare autonomo - dovrebbe operare come Responsabile del Trattamento per l’eventuale committente per il quale realizza l’attività promozionale. In questo caso infatti, realizza un Trattamento per conto di un Titolare che ne ha stabilito le finalità. Del resto, se così non fosse, si realizzerebbe un passaggio di dati tra l’acquirente della lista e il committente finale, che non sarebbe assistito da alcun Consenso da parte degli interessati. Infatti, come più volte chiarito dal Garante, un iniziale Consenso per la comunicazione dei dati a terzi per finalità promozionale ha valore solo nei confronti del primo Titolare che li acquisisce e non può invece dispiegare i suoi effetti in un’infinita catena di trasferimenti di cui l’interessato non è a conoscenza nel momento in cui concede il proprio consenso.
Riguardo alla qualificazione dei ruoli nel trattamento, relativamente al committente e al suo fornitore di servizi, il Garante si è più volte espresso (cfr. provv. 25 novembre 2021, doc web n. 9736961 e provv. 25 novembre 2021, doc web n. 9737185).
Pertanto l’errata qualificazione di Responsabile del Trattamento nei rapporti contrattuali denominati di gestione di database ha comportato che il Trattamento fosse in contrasto con i requisiti di liceità, correttezza e trasparenza, in violazione dell’art. 5, par. 1, lett. a).
Si deve comunque dare atto del fatto che la Società ha ritenuto di agire correttamente nominando i propri partner commerciali come responsabili del Trattamento perché tale soluzione appariva la più idonea ad offrire maggiori garanzie di controllo sulle banche dati affidate ai terzi attraverso apposite istruzioni volte ad evitare l’effettuazione di contatti indesiderati. Tuttavia, tale comprensibile esigenza di controllo non può essere soddisfatta utilizzando in maniera scorretta i ruoli previsti dalla normativa in materia di protezione dei dati personali, ma può comunque trovare soddisfazione attraverso opportune previsioni contrattuali (che la stessa Bakeca ha posto in essere) che, anche in un rapporto tra Titolare e titolare, possono garantire il corretto utilizzo delle banche dati.
Ciò premesso, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, si rende necessario ingiungere a Bakeca di conformare i rapporti con i soggetti terzi alle indicazioni fornite con il presente provvedimento, provvedendo a qualificare contrattualmente i ruoli in parola come rapporti tra autonomi titolari nel caso in cui il soggetto che riceve la banca dati determini autonomamente le finalità del Trattamento operando su tali banche dati per veicolare messaggi promozionali per conto di propri committenti.
4.4 Modalità di acquisizione del Consenso al trattamento
Con riguardo alla formula di espressione della consapevolezza dell’utente contenuta nella prima richiesta di consenso, come già fatto notare nell’atto di avvio del procedimento, tale impostazione è parsa in generale corretta perché se ne se sono compresi gli intenti, ma si è dovuto rilevare che la complessiva formulazione della richiesta non era altrettanto corretta e rischiava di non essere compresa dall’interessato al momento dell’espressione della propria volontà.
Tenuto conto del fatto che la Società ha dichiarato di aver provveduto a correggere la formula di richiesta dei consensi e di conferma della presa visione dell’informativa, non si ritiene di dover provvedere ulteriormente.
Si ritiene infine che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.
TUTTO CIÒ PREMESSO, IL GARANTE
nei confronti di Bakeca S.r.l., con sede legale in via Vincenzo Monti, 43/A, Torino, P.IVA/codice fiscale 09239540017,
a) ai sensi dell’art. 58, par. 2, lett. d), ingiunge a Bakeca di modificare il testo dell’informativa, al punto c) delle finalità del trattamento, indicando che il Trattamento è effettuato in conformità all’art. 130, comma 4, del Codice purché l’interessato non rifiuti tale uso inizialmente o in occasione di successive comunicazioni;
b) ai sensi dell’art. 58, par. 2, lett. b), rivolge un ammonimento a Bakeca in merito al fatto che la mancata indicazione nell’informativa agli interessati dei soggetti che ricevono i dati costituisce una violazione del Regolamento poiché non consente agli interessati stessi di avere contezza del Trattamento e, di conseguenza, di prestare un idoneo Consenso e di esercitare i propri diritti nei confronti di chi detiene i propri dati;
c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Bakeca di conformare i rapporti con i soggetti terzi alle indicazioni fornite con il presente provvedimento, provvedendo a qualificare contrattualmente i ruoli dei diversi soggetti coinvolti nel Trattamento dei Dati personali come rapporti tra autonomi titolari nel caso in cui colui che riceve la banca dati determini autonomamente le finalità del Trattamento operando su di essa per veicolare messaggi promozionali per i propri committenti.
DISPONE
ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il Titolare del Trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 11 gennaio 2023
IL PRESIDENTEStanzione
IL RELATOREScorza
IL SEGRETARIO GENERALEMattei
Link: https://www.garanteprivacy.it/web/guest/home/docwe
Testo del 2023-03-07 Fonte: GPDP
Documento Privacy Italiano Informativa Garante Ingiunzione Ammonizione Privacydb Soft spam Cessione a terzi Codice privacy Titolari autonomi Wallabag