La vicenda

Il provvedimento n. 52/2018 del Garante della Privacy trae origine dalle numerose segnalazioni pervenute da professionisti (nella fattispecie: avvocati, commercialisti, revisori contabili, consulenti del lavoro e notai) che lamentavano l’invio da parte della società Mevaluate Italia s.r.l. di comunicazioni pec indesiderate a contenuto promozionale, in un caso addirittura anche dopo l’esercizio da parte dell’interessato dei diritti di cui agli artt. 7 ss. del Codice Privacy, inclusa l’opposizione al trattamento dei dati personali.
Le e-mail in questione, inviate in un arco temporale ristretto (mese di ottobre 2016) erano dirette agli indirizzi pec dei professionisti che la società aveva estratto dal registro INI-PEC, dal sito www.registroimprese.it e, in misura più contenuta, anche dagli elenchi dei professionisti pubblicati da alcuni ordini provinciali all’interno dei rispettivi siti istituzionali.
L’oggetto delle comunicazioni era la notizia della pubblicazione di un bando di selezione relativo alla figura professionale del “consulente reputazionale”, con invito a partecipare a un webinar gratuito sui contenuti specifici del suddetto bando.
All’esito delle verifiche effettuate dal Garante, con l’ausilio anche del Nucleo Speciale Privacy della Guardia di Finanza, sono state contestate alla società le seguenti irregolarità:
– in primo luogo la violazione dell’Art. 11 comma 1 lettere a) e b) del Codice Privacy in relazione alle modalità utilizzate per raccogliere i dati personali degli interessati (indirizzi pec) che, nel caso concreto, avrebbero comportato la violazione dei principi di liceità, correttezza e finalità, con conseguente illiceità del trattamento effettuato;
– in secondo luogo, la violazione degli artt. 13, commi 1 e 4, 130, commi 1 e 2, e 23 del Codice Privacy stante l’accertata finalità promozionale delle comunicazioni e la mancanza del necessario preventivo consenso informato degli interessati al trattamento.
Per tali addebiti il Garante, con provvedimento n. 52/2018, ha condannato la società a provvedere alla cancellazione senza ritardo, comunque entro e non oltre 30 giorni dalla ricezione del provvedimento, di tutti i dati trattati in violazione di legge, con espresso divieto del loro ulteriore trattamento, a nulla rilevando le giustificazioni addotte dalla società circa la facile reperibilità degli indirizzi nel pubblico registro INI-PEC e l’asserita mancanza di finalità promozionale delle comunicazioni.

E’ necessario il consenso al trattamento anche quando i dati personali sono reperibili nei registri o elenchi pubblici?

Nel provvedimento sopra citato il Garante chiarisce una volta per tutte che anche quando i dati personali (come gli indirizzi di posta elettronica) sono rinvenibili in registri o elenchi pubblici (quali quelli disponibili su INI-PEC, sul sito www.registroimprese.it o sui siti web istituzionali degli ordini provinciali delle categorie professionali) è parimenti necessario il preventivo consenso dell’interessato, non essendo lecito nemmeno in tali casi l’invio di comunicazioni promozionali senza consenso.
Secondo il Garante, infatti, l’agevole reperibilità degli indirizzi PEC non ne autorizza automaticamente il trattamento per qualsiasi scopo ma soltanto per le specifiche finalità sottese alla loro pubblicazione ed esplicitamente dichiarate dalla legge.
Nello specifico, la finalità che sta alla base del registro INI-PEC – ossia l’Indice Nazionale degli Indirizzi di Posta Elettronica Certificata, recentemente modificato in “Indice nazionale dei domicili digitali” dall’art. 8, comma 1, d.lgs. 13 dicembre 2017 n. 217 – è quella di «favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica» come affermato all’art. 6-bis, comma 1, d.lgs. n. 82/2005 (c.d. Codice dell’amministrazione digitale, c.d. “CAD”), introdotto dall’art. 5, comma 3, d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 22.
Tale principio trova conferma anche all’art. 16, comma 10, d.l. n. 185/2008 (convertito, con modificazioni, in legge 28 gennaio 2009, n. 2) in base al quale, mentre da un lato «la consultazione per via telematica dei singoli indirizzi di posta elettronica certificata […] nel registro delle imprese o negli albi o elenchi costituiti ai sensi del presente articolo avviene liberamente e senza oneri», dall’altro si prevede espressamente che «l’estrazione di elenchi di indirizzi è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza», con conseguente esclusione della liceità della medesima operazione da parte di soggetti privati.
Da ciò discende, come già affermato anche dal Garante nelle Linee Guida pubblicate il 4/7/2013 in materia di attività promozionale e contrasto allo spam ( G.U. n. 174 del 26/7/2013) che «senza il consenso preventivo degli interessati non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti in INI-PEC” (cfr. punto 2.5 Linee Guida).
Ed è anche la stessa pagina web di INI-PEC (https://www.inipec.gov.it/note-legali) a chiarire che «L’utilizzo dei dati acquisiti tramite accesso all’INI-PEC deve sempre avvenire nel rispetto della normativa vigente in materia di trattamento dei dati personali (d.lgs. n. 196/2003 e s.m.i.). In particolare, il Garante ricorda che senza il preventivo consenso dei diretti interessati non è lecito utilizzare gli indirizzi PEC contenuti nell’indice ai fini dell’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale” secondo quanto stabilito stabilito dall’art. 130, co. 1 e 2, Codice Privacy e dalle summenzionate Linee Guida.

Il consenso è sempre necessario se le PEC sono a contenuto promozionale?

Premessa la definizione e l’ampia portata delle finalità promozionali di cui all’art. 13 della Direttiva 2002/58/CE e al parere del Gruppo art. 29 n. 5/2004 relativo alle comunicazioni indesiderate a fini di commercializzazione diretta, il Garante nella vicenda in esame ha altresì ritenuto che l’attività svolta dalla società dovesse ritenersi connotata da finalità promozionali, in quanto le pec inviate miravano a favorire (dietro pagamento di un corrispettivo «per ottenere l’attestato di qualificazione che abilita alla nuova attività professionale da parte dell’organismo di certificazione indipendente») le attività dell’Associazione connesse alla figura del “consulente reputazionale” all’interno del cd. “sistema Mevaluate”.
Ne è disceso che rispetto all’invio delle comunicazioni elettroniche a contenuto promozionale la società, in qualità di titolare del trattamento, avrebbe dovuto acquisire il consenso informato degli interessati ai sensi degli artt. 13, commi 1 e 4, 130, commi 1 e 2, e 23 del Codice (v. anche Linee guida in materia di spam del 4 luglio 2013, cit., in particolare punto 2.6), cosa che non ha fatto, ponendosi così in contrasto con la disciplina posta a protezione dei dati personali.
Non basta la presenza nelle e-mail indesiderate di un link per la cancellazione dalla mailing list: il consenso richiesto, infatti, deve essere acquisito anteriormente all’invio delle comunicazioni promozionali (v. anche Linee Guida 4 luglio 2013, punto 2.5; provv. 6 ottobre 2016 e provv. 30 novembre 2017).
Fanno eccezione le ipotesi di c.d. soft spam di cui all’art. 130, comma 4, del Codice, (non ricorrenti nel caso di specie) che si verificano ove il titolare del trattamento utilizzi a fini di vendita diretta di propri prodotti o servizi le coordinate di posta elettronica fornite dall’interessato nel contesto di una vendita precedente di prodotti o servizi analoghi (e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni).

Quanto affermato per le PEC contenute in pubblici registri vale anche per le utenze telefoniche presenti sugli elenchi?

Fermo quanto sin qui affermato in tema di utilizzo per finalità promozionali degli indirizzi pec reperibili estratti da pubblici registri, deve invece ritenersi ferma la possibilità di contattare telefonicamente mediante operatore (per chiedere al contraente di esprimere un consenso a ricevere comunicazioni promozionali secondo le modalità di cui all’art. 130, commi 1 e 2) i numeri presenti in elenchi telefonici pubblici, a patto che gli stessi non siano iscritti nel Registro pubblico delle opposizioni di cui al d.p.r. 178/2010, recentemente modificato dalla legge n. 5/2018) e sempre che ciò avvenga nel rispetto dei limiti e delle modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati, fra i quali “vi è il vincolo di finalità in base al quale i dati sono raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altri trattamenti in termini compatibili con tali scopi” (v. art. 11, comma 1, lett. b) del Codice).