Invio di e-mail promozionali a indirizzi PEC raccolti da registri pubblici

In Privacy
Tempo di Lettura: 5 minuti
 Provvedimento Garante Privacy n. 52 del 1 febbraio 2018
Redatto dal dott. Antonino Topa

Il Provvedimento affronta il tema dell’utilizzo dei dati personali per le comunicazioni commerciali e pubblicitarie.

La vicenda trae origine da un invio massivo di materiale a contenuto promozionale da parte di una società di servizi, la Mevaluate srl (di seguito “Società”), a diversi indirizzi PEC reperiti dal registro pubblico INI-PEC (Indice nazionale degli Indirizzi di Posta Elettronica Certificata), anche a seguito dell’esercizio del diritto di opposizione di uno dei segnalanti/interessati. Si evidenzia la circostanza secondo la quale il titolare del trattamento sarebbe, a parere della Società, l’Associazione Mevaluate Onlus (di seguito “Associazione”), la quale aveva incaricato la stessa Mavaluate srl, mittente del materiale pubblicitario, a contattare con diversi messaggi i professionisti censiti.

Un imprescindibile obbligo, in capo al titolare del trattamento, è quello del previo rilascio, ai destinatari delle comunicazioni promozionali, dell’informativa di cui all’art. 13 del D.lgs. 196/2003 (di seguito “Codice Privacy”), al fine di garantire un’informazione chiara, completa ed adeguata, relativa al trattamento dei loro dati, nonchè un eventuale consenso.

A tal riguardo, l’art. 130, comma 1 e 2 del Codice Privacy specifica che le comunicazioni elettroniche tramite fax, posta elettronica, SMS ed MMS possono essere utilizzate, al fine dell’invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale, solo qualora vi sia stato il previo consenso dell’interessato, il quale potrebbe sempre opporsi, in tutto o in parte, a predetto trattamento, esercitando il diritto di cui all’art. 7, comma 4, lett. b del Codice Privacy.

Posto che, nel caso oggi in rassegna, non pare esserci stato un vero e proprio consenso rilasciato da parte dei molteplici interessati, resta da vagliare l’ipotesi di un trattamento fondato su una base giuridica diversa. In realtà, per la sola posta elettronica, potrebbe ricorrere l’eccezione del “soft spam” (art. 130, comma 4 del Codice Privacy) in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta dei propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato; ciò a patto che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale utilizzo.

Tuttavia, l’eccezione non è stata presa in considerazione, nel caso di specie, dal Garante, il quale ha piuttosto ritenuto che il contenuto promozionale dei messaggi PEC avrebbe richiesto un consenso informato degli interessati, ai sensi degli artt. 13 commi 1 e 4, 130 commi 1 e 2, 23 del Codice Privacy, non potendo assumere alcuna valenza esimente il fatto che l’informativa fosse inserita all’interno delle comunicazioni, dovendo questa essere fornita in un momento precedente (anche per come ribadito dalle “Linee Guida in materia di attività promozionale e contrasto allo spam” 4 luglio 2013), nè tantomeno il fatto di aver ricevuto dagli Ordini professionali di appartenza degli interessati riconoscimenti e patrocini: queste circostanze, cioè, non sono state ritenute idonee a surrogare il consenso informato, concludendo quindi il Garante, con riferimento a questo tema, per l’illiceità del trattamento posto in essere dalla Società.

Il trattamento è stato giudicato parimenti illecito sotto altri profili.

Tuttavia, prima di tale disamina, si consideri preliminarmente il caso in cui le comunicazioni promozionali indesiderate vengono inviate non direttamente dall’impresa/società promotrice, ma da agenti o altri soggetti terzi.

E’ necessario chiarire quale, fra il soggetto promotore e il terzo, debba considerarsi titolare del trattamento con i relativi obblighi. A tal proposito, viene in rilievo il Provvedimento Generale del 15 giugno 2011 sulla “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali”, il quale è opportuno richiamare insieme al Parere del Gruppo Articolo 29 n. 1/2010.

Queste decisioni hanno contribuito a chiarire i criteri in base ai quali si può individuare il titolare del trattamento, tenuto conto di alcuni elementi extracontrattuali, come ad esempio il controllo reale esercitato da una parte, l’immagine data agli interessati o il legittimo affidamento di questi ultimi sulla base di questa visibilità.

Con riferimento al Provvedimento del 15 giugno, il Garante ha ribadito che il soggetto promotore debba essere considerato l’effettivo titolare del trattamento, qualora lo stesso, in concreto, abbia un ruolo preminente nel trattamento di dati dei destinatari, assumendo decisioni relative alla finalità e modalità dello stesso, fornendo istruzioni e direttive vincolanti e svolgendo verifiche e controlli sull’attività dell’agente, a prescindere dalla sua qualificazione contrattuale.

Inoltre, il soggetto promotore sarebbe tenuto a nominare responsabile il soggetto agente o altro terzo di cui si avvale per l’attività promozionale, salvo che non si tratti di un incaricato che svolga solo operazioni di trattamento sotto la diretta autorità del promotore e in base alle sue istruzioni.

Nel caso in questione, la Società aveva provato a difendere la propria posizione di responsabile del trattamento proprio sull’assunto di un suo formale atto di designazione, da parte dell’Associazione; tuttavia, il Garante nel presente Provvedimento, anche sulla base delle considerazioni appena discusse, ha ritenuto sussistere un rapporto di co-titolarità del trattamento dei dati in questione, in ragione della circostanza che fosse evidente il coinvolgimento dei due soggetti nell’ambito di un unico progetto condiviso, quanto a principi, finalità e modalità attuative ed anche in ragione dell’identità del rappresentante legale, nonchè della comune sede legale dell’Associazione e della Società.

A ciò si aggiunga che, in caso di dichiarata comunicazione ad un soggetto terzo degli indirizzi PEC in vista di un successivo inoltro, da parte di quest’ultimo, delle email a contenuto promozionale, in assenza di previa designazione del medesimo quale responsabile del trattamento ex art. 29 del Codice Privacy, risulta parimenti violato l’art. 23 del Codice Privacy, non essendo detta comunicazione dei dati fondata su un idoneo consenso degli interessati o su altro presupposto equivalente ai sensi dell’art. 24 del Codice Privacy.

La situazione appena descritta pare possa riferirsi al caso di specie, allorquando le comunicazioni di dati dei professionisti ad opera dell’Associazione, nei confronti della Società, non sono state precedute da un rilascio di consenso dei predetti interessati, nè la dichiarata designazione della Società quale “incaricato privacy” ha potuto in alcun modo sostituire la necessaria elezione della società terza quale responsabile ai sensi dell’art. 29 del Codice Privacy, essendo, tra l’altro, la figura dell’incaricato diversa ed ulteriore rispetto a quest’ultima.

Ciò detto, quello che ha rilevato a conclusione circa l’illegittimità del trattamento effettuato è stata anche la modalità di raccolta dei dati degli interessati ad opera della Società, in particolare per la violazione dei principi di liceità e correttezza, nonchè del principio di finalità (art. 11, comma 1, lett.a e lett.b del Codice Privacy), con riferimento ad alcune disposizioni normative che circoscrivono le finalità sottesa alla pubblicazione dei predetti indirizzi nel registro INI-PEC (vedi art. 6-bis, comma 1, d.lgs n. 82/2005; art. 16, comma 10, d.l. n. 185/2008).

Tale registro servirebbe infatti unicamente a consentire il reperimento dei recapiti da parte della Pubblica Amministrazione per le comunicazioni relative agli adempimenti amministrativi e non anche a consentire ai privati l’invio di materiale pubblicitario.

Resta inteso che, qualora un privato voglia estrarre dei dati personali da elenchi o registri pubblici, l’agevole reperibilità degli stessi non ne autorizza il trattamento per qualsiasi scopo, ma solamente per le finalità sottese alla loro pubblicazione, a meno che non si ottenga, come detto prima, un consenso informato da parte dell’interessato che consenta di superare tale vincolo (vedi “Linee guida in materia di attività promozionale e contrasto allo spam” 4 luglio 2013 e Provvedimenti citati al punto 7 delle Premesse).

Posto che, nel caso oggi analizzato, la Società non abbia veste di Pubblica amministrazione, nè abbia tantomeno richiesto il consenso necessario per procedere all’utilizzo di tali dati per invio di materiale pubblicitario e che lo scopo dell’istituzione dell’INI-PEC non è quella di consentire agli operatori del mercato di reperire gli indirizzi iscritti per tale finalità, non può che concludersi per un’illiceità del trattamento medesimo.

Per tutto quanto qui premesso, il Garante ha ritenuto che i dati personali, raccolti per la comunicazione commerciale e pubblicitaria, non potevano essere utilizzati per tale finalità e quindi è stato necessario vietarne l’ulteriore uso, con la cancellazione di quelli già in possesso della Società e dell’Associazione, con riserva di contestazione, con autonomo procedimento, di sanzioni amministrative concernenti la violazione degli artt. 13, 23, 130 e quelle previste dagli artt. 161 e 162, comma 2-bis del Codice Privacy.

Print Friendly, PDF & Email

You may also read!

S.p.A.: Amminstratore revocato senza giusta causa. Quali danni risarcibili?

Redatto dalla dott.ssa Roberta Di Maso L’articolo 2383 comma 3 c.c. stabilisce che, in materia di societa’ per azioni,

Read More...

GDPR: misure di sicurezza

Redatto dal dott. Antonio Massari Una tematica molto interessante nonché oggetto di recenti sviluppi interpretativi è quella relativa alle

Read More...

Assoluzione e riforma della sentenza: la Corte d’Appello può non risentire chi ha reso dichiarazioni utili per la condanna

Cassazione Penale, Sezioni Unite, 3 aprile 2018 (ud. 21 dicembre 2017), n. 14800 Redatto dall’Avv. Michele Salomone Il giudice di

Read More...

Leave a reply:

Your email address will not be published.

Mobile Sliding Menu