g-docweb-display Portlet

Ricezione di messaggi di posta elettronica indesiderati a contenuto promozionale - 5 maggio 2016 [5185000]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 5185000]

Ricezione di messaggi di posta elettronica indesiderati a contenuto promozionale - 5 maggio 2016

Registro dei provvedimenti
n. 206 del 5 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le Linee guida in materia di attività promozionale e contrasto allo spam adottate con provvedimento del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348) nonché il provvedimento del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale (doc. web n. 29840);

VISTA la segnalazione del 7 agosto 2015 di XY, formulata ai sensi dell´art. 141, comma 1, lett. b), del Codice;

VISTA la richiesta di informazioni rivolta a SEAZ s.r.l., in data 8 ottobre 2015 ed il relativo riscontro pervenuto il 29 ottobre 2015;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal Segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Il segnalante ha lamentato la ricezione di una pluralità di messaggi di posta elettronica indesiderati a contenuto promozionale aventi ad oggetto beni e servizi di contenuto vario recanti in calce la locuzione "ricevi questa email perché sei iscritto al sito www.job4italy.com".

Sotto diverso profilo, il segnalante ha altresì lamentato, nonostante la presenza nell´ambito dei messaggi di un link per richiedere la cancellazione dall´indirizzario (mailing list), l´inefficacia di tale misura atteso che questi, anche dopo aver richiesto la rimozione dei dati a sé riferiti (ed aver inviato apposite richieste alla società per opporsi all´ulteriore invio di email pubblicitarie il 31 luglio ed il 1° agosto 2015), continuava a ricevere ulteriori comunicazioni elettroniche a contenuto promozionale (v. allegati alla segnalazione e alle ulteriori comunicazioni del 13, 14, 24 e 26 agosto 2015).

2.1. Nell´ambito dell´istruttoria condotta nei confronti di SEAZ s.r.l., titolare del trattamento effettuato mediante il sito web www.job4italy.com (circostanza confermata dall´informativa nello stesso pubblicata), la società ha dichiarato che:

il portale www.job4italy.com offre un servizio gratuito finalizzato a mettere in contatto domanda e offerta di posti di lavoro, aggiungendo che «vista la gratuità dei servizi offerti ai Candidati, per fronteggiare i costi di gestione del portale, tramite il nostro partner commerciale specializzato in e-mail marketing si inviano ai candidati e-mail promozionali»;

il segnalante si era registrato sul sito in questione l´11 marzo 2013 accettando le condizioni contenute nella relativa informativa sulla privacy (in atti); in tale informativa, tra le finalità del trattamento, viene indicato che «i dati forniti potranno essere comunicati, trasferiti e/o ceduti a soggetti terzi autorizzati dall´Azienda titolare del portale ed utilizzati per l´invio di comunicazioni commerciali relative a prodotti, servizi o iniziative di suoi partner commerciali o di società terze» e, in calce alla stessa, qualificata come "formula di consenso", era evidenziata la frase «acquisite le informazioni che precedono, rese ai sensi dell´art. 13 del D.Lgs. 196/2003, acconsento al trattamento dei miei dati come sopra descritto»;

in merito alla lamentata impossibilità di interrompere la ricezione delle e-mail, la richiesta di cancellazione del segnalante non era stata presa in carico dal sistema per un problema tecnico e, in base a quanto dichiarato, «trattandosi di periodo di ferie estive, purtroppo solo dopo qualche giorno è stata rilevata l´anomalia […] e si è provveduto a normalizzare la situazione».

2.2. Il 1° marzo 2016 l´Ufficio ha effettuato verifiche tramite accesso al portale www.job4italy.com per acclarare le modalità di iscrizione ai servizi finalizzati alla ricerca di lavoro presenti nell´area «candidati». Dall´accertamento è emerso che, per poter registrare i profili individuali ed inserire il curriculum vitae, è necessario accettare in toto le condizioni contenute nell´informativa sul trattamento dei dati personali ‒ avente il medesimo testo allegato dalla società nella nota di risposta di cui sopra ‒ acconsentendo al trattamento dei dati per tutte le finalità in essa indicate; è emerso inoltre che una volta completato l´inserimento dei dati (indirizzo e-mail e password) nel form di iscrizione, omettendo di spuntare la casella «Privacy» (collegata mediante link alla suddetta informativa), risulta impossibile completare la procedura di registrazione.

3.1. Il caso in esame riguarda il trattamento dei dati personali (segnatamente dell´indirizzo di posta elettronica) per finalità promozionali da parte di SEAZ s.r.l. effettuato previa registrazione al sito web www.job4italy.com preordinato allo svolgimento della più ampia attività di intermediazione tra domanda e offerta di lavoro alle condizioni previste dal vigente art. 6, d.lg. 10 settembre 2003, n. 276, disposizione secondo la quale «i gestori di siti internet [sono autorizzati allo svolgimento di detta attività] a condizione che svolgano [la stessa] senza finalità di lucro e che rendano pubblici sul sito medesimo i dati identificativi del legale rappresentante».

3.2. Il lamentato trattamento risulta essere avvenuto in violazione della disciplina di protezione dei dati personali sotto più profili: da un lato, risultando comprovata, mediante le comunicazioni a contenuto pubblicitario allegate alla segnalazione e alle ulteriori comunicazioni trasmesse dal segnalante il 13, 14, 24 e 26 agosto 2015, la trasmissione di messaggi a contenuto promozionale in date successive alla richiesta formulata dall´interessato il 31 luglio 2015 con la quale lo stesso si è opposto all´utilizzo del proprio indirizzo di posta elettronica per detta finalità.

D´altro canto, più radicalmente, in ragione dell´impossibilità per gli interessati, oggetto di verifica da parte dell´Ufficio in data 1° marzo 2016, di manifestare liberamente e specificamente ‒ come richiesto in termini generali dall´art. 23, comma 3, del Codice ‒, in fase di registrazione, il consenso all´utilizzo dei dati personali a sé riferiti per finalità promozionali sulla base di quanto previsto dall´art. 130, commi 1 e 2, del Codice.

3.3. A quest´ultimo proposito, il Garante ha più volte ribadito che non possono considerarsi legittimi i trattamenti dei dati personali quando, al momento della manifestazione del consenso, gli interessati non sono stati posti in condizione tale da poter esprimere consapevolmente e liberamente (come richiesto in termini generali dall´art. 23 del Codice) le proprie scelte e le proprie determinazioni in merito (tra i tanti cfr. provv.ti 20 dicembre 2012, doc. web n. 2223607; 15 luglio 2010, doc. web n. 1741998). Qualora il titolare abbia richiesto un unico consenso per una molteplicità di eterogenee finalità del trattamento ovvero qualora la fornitura di un servizio venga subordinata alla obbligatoria manifestazione del consenso al trattamento dei dati per fini promozionali, tale consenso non può infatti considerarsi liberamente e consapevolmente prestato (cfr. provv.ti 13 maggio 2015, n. 291, doc. web n. 4337465; 1° ottobre 2015, n. 508, doc. web n. 4452896).

Nel caso di specie, poiché la procedura di registrazione posta in essere dalla società costringe l´interessato a prestare un unico consenso per una molteplicità di finalità tra loro eterogenee e non consente allo stesso di manifestare liberamente il proprio consenso all´utilizzo dei dati personali che lo riguardano per finalità promozionali, il conseguente trattamento deve reputarsi illecito. Fermo restando che il trattamento effettuato per eseguire gli obblighi derivanti dal contratto può essere comunque realizzato senza acquisire il consenso degli interessati (art. 24, comma 1, lett. b), del Codice), l´obbligo di integrale accettazione delle condizioni indicate nell´informativa come presupposto necessario per ottenere il servizio costituisce infatti un´acquisizione del consenso non conforme alla norma in quanto lo stesso non è né libero, né specifico per le finalità promozionali.

Considerato che, ai sensi dell´art. 11, comma 2, del Codice, i dati trattati illecitamente non possono essere utilizzati, si rende necessario pertanto vietare alla Società l´ulteriore trattamento per finalità promozionali dei dati raccolti senza acquisire un consenso libero e specifico degli interessati (e tra questi, del segnalante) prescrivendo al contempo opportune misure atte a rendere il trattamento conforme alle norme.

4. Sotto diverso profilo, deve altresì ritenersi che il trattamento sia stato effettuato in violazione del principio di correttezza (art. 11, comma 1, lett. a), del Codice), considerata la prolungata disfunzione del meccanismo predisposto per opporsi al trattamento ‒ che, pur tenuto conto delle dichiarazioni rese dalla società (delle quali si può essere chiamati a rispondere ai sensi dell´art. 168 del Codice), si è protratta per il mese di agosto, durante il quale le comunicazioni indesiderate sono continuate a pervenire al segnalante ‒ e il mancato tempestivo riscontro alle richieste formulate dal segnalante il 31 luglio ed il 1° agosto 2015 (al riguardo v. anche la raccomandazione n. 2/2001 del Gruppo art. 29 relativa ai requisiti minimi per la raccolta di dati online nell´Unione Europea, doc. web n. 434757, p. 6, secondo cui «è fondamentale che gli utenti Internet dispongano di un´effettiva possibilità di opporsi on-line […] cliccando su di una casella di spunta ed esprimendo così il proprio favore alla comunicazione dei dati con finalità diverse dalla fornitura del servizio richiesto»).

Si ricorda che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro ai sensi dell´art. 162, comma 2-ter del Codice.

5. L´Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni amministrative concernenti i profili sopra evidenziati afferenti alla mancanza di consenso per l´utilizzo dei dati personali per finalità di marketing (art. 130, commi 1 e 2 nonché 162, comma 2 bis, del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali di cui è stato accertato l´illecito trattamento in violazione degli artt. 11, comma 1, lett. a) e 130, commi 1 e 2, del Codice, non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice), ferma restando la fornitura del servizio di intermediazione agli utenti registrati, nei confronti di SEAZ s.r.l. con sede legale in Bra, Largo Europa 1:

vieta l´ulteriore trattamento per finalità promozionali dei dati personali raccolti in occasione dell´iscrizione di quanti interessati al portale www.job4italy.com senza la documentata acquisizione di un loro consenso libero e specifico, con obbligo di mera conservazione dei dati registrati ai soli fini di consentire l´attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati;

prescrive di adottare, qualora intenda raccogliere dati personali ed utilizzarli per finalità promozionali, le misure necessarie ed opportune al fine di rendere il trattamento conforme alla normativa in materia e, in particolare l´adozione delle opportune misure tecnologiche affinché la manifestazione del consenso da parte degli interessati al trattamento dei dati per finalità di marketing non sia condizione necessaria ai fini dell´esecuzione dei servizi resi tramite il sito web della società;

ai sensi dell´art. 157 del Codice, invita, altresì, entro sessanta giorni dalla data di ricezione presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto vietato e prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell´art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 5 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
5185000
Data
05/05/16

Argomenti


Tipologie

Prescrizioni e divieto del Garante