Garante Privacy, 9 gennaio 2014, doc. web n. 2904350
Il sig Alfa inoltrava al Garante per la protezione dei dati personali una segnalazione con cui lamentava la ricezione di diversi messaggi promozionali indesiderati relativi al sito di e-commerce www.xxxxxx.com inviati via e-mail da parte di Beta Srl nonostante le richieste di cancellazione inoltrate dal Segnalante.
Innanzi al Garante Beta Srl si è difendeva sostenendo di aver raccolto i dati del Segnalante in occasione dell’attivazione della garanzia relativa all’acquisto di un casco da motociclista di marca Shoei e che il consenso alla ricezione di messaggi promozionali era stato ottenuto mediante la sottoscrizione del modulo di attivazione della garanzia relativo al detto prodotto, specificando che “tutti i nominativi che appongono la firma in calce forniscono l’autorizzazione al trattamento dei dati personali da parte di Beta Srl. Tali dati sono utilizzati sia per l’attivazione della garanzia sia per finalità statistiche e commerciali oltre che per l’invio di materiale pubblicitario e promozionale“.
Ma il modulo anzidetto, prodotto da Beta Srl, è chiaramente identificato come “scheda di attivazione garanzia” e reca in calce uno spazio per la firma con la quale esprimere il consenso al trattamento dei dati personali per le finalità e le modalità descritte dall’informativa. All’interno di tale modulo viene richiesto di fornire numerosi dati personali e informazioni relative alle abitudini di acquisto senza che venga specificata l’obbligatorietà o meno del conferimento dati ed essendo altresì specificato che il modulo è “da compilare in ogni sua parte … e spedire per convalidare la garanzia“. Dall’unita informativa si evince soltanto che i dati forniti saranno trattati “per finalità statistiche e commerciali oltre che per l’invio di materiale pubblicitario e promozionale, anche per mezzo di società incaricate” senza tuttavia specificare, neppure lì, la natura obbligatoria o facoltativa del conferimento dei dati nonché i soggetti o le categorie di soggetti che potranno trattarli; inoltre l’informativa non individua chiaramente il tipo di trattamento che verrà fatto – soprattutto riguardo alle finalità statistiche e commerciali – dei dati personali forniti che, data l’ampiezza e il livello di dettaglio delle informazioni richieste, sono potenzialmente atti a definire profili e personalità degli interessati.
Le norme in materia di garanzia legale e commerciale sui prodotti (Artt. 128 e ss. del d.lgs. n. 206/05, c.d. Codice del consumo) non subordinano l’esercizio del diritto alla garanzia all’obbligo per l’acquirente di fornire dati personali.
L’art. 11, I co. lett. d) del Codice Privacy prevede che i dati personali oggetto di trattamento siano pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti; ma nel caso di specie tali finalità non sono chiaramente individuate nell’informativa resa all’atto dell’acquisizione del consenso.
L’art. 23, III co. Codice Privacy prevede inoltre che il trattamento di dati personali di privati è ammesso solo previa acquisizione di un consenso dell’interessato libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e da documentare per iscritto.
Se è vero che l’art. 24, I co., lett. b) del Codice Privacy prevede, tra le altre, una deroga rispetto all’obbligo dell’acquisizione del consenso ove il trattamento sia necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato, è tuttavia evidente che nel caso in esame i trattamenti di dati svolti per finalità commerciali nulla hanno a che vedere con quelli necessari per adempiere al contratto di fornitura del servizio (garanzia del prodotto acquistato).
Pertanto per il conseguimento di tali finalità (commerciali), ulteriori rispetto a quelle di carattere contrattuale, il titolare è tenuto alla preventiva acquisizione di uno specifico consenso.
In proposito il Garante ha già in passato rilevato che non può definirsi “libero” il consenso a ulteriori trattamenti di dati personali che l’interessato debba prestare quale condizione per conseguire una prestazione richiesta (v. www.garanteprivacy.it: provv. 22.2.07, doc. web n. 1388590; provv. 12.10.05, doc. web n. 1179604; provv. 3.11.05, doc. web n. 1195215; provv. 15.7.10, doc. web n. 1741998, provv. 19.5.11, doc. web n. 1823148) e che gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare (cfr. provv. 24 febbraio 2005, punto 7, doc. web n. 1103045);
In definitiva Beta Srl ha inviato e-mail promozionali senza aver acquisito un consenso libero e specifico da parte del segnalante, attuando un trattamento illecito di dati personali che il Garante, ai sensi degli artt. 143, I co. lett. c) e 154, I co. lett. d) Codice Privacy, ha il compito di vietare e/o di bloccare anche d’ufficio.
Nel caso di specie l’Autorità ha rilevato la necessità di adottare nei confronti della società Beta Srl un provvedimento prescrittivo, ai sensi degli artt. 143, I co. lett. b) e 154, I co. lett. c) del Codice con riferimento alla predisposizione di un’informativa conforme alle disposizioni dell’art. 13, I co. del Codice e all’adozione di apposite procedure per l’acquisizione del consenso libero e specifico di cui agli artt. 23 e 130, II co.
Rilevato che i dati personali trattati in violazione della disciplina in materia di dati personali non possono essere utilizzati (Art. 11, II co. Codice Privacy), il Garante ha dichiarato illecito il trattamento dei dati personali posto in essere da Beta Srl e vietato a Beta Srl, ai sensi degli artt. 143, I co. lett. c) e 154, I co. lett. d) del Codice Privacy il trattamento dei dati personali già acquisiti per le finalità di invio di messaggi promozionali senza aver fornito la specifica informativa e senza aver acquisito lo specifico consenso, ferma restando l’utilizzabilità degli stessi dati per la sola fornitura dei servizi connessi alla garanzia sui prodotti. Precisando che, ai sensi dell’art. 170 del Codice Privacy, l’inosservanza del provvedimento di divieto è punita con la reclusione da tre mesi a due anni e con una sanzione amministrativa da € 30.000,00 a € 180.000,00.
Il tutto impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla violazione accertata con specifico riguardo agli eventuali profili di danno.
Fonte: www.garanteprivacy.it