|
A distanza di otto anni
dall’adozione del Codice in materia di protezione dei
dati personali, le aziende continuano a considerare gli
adempimenti privacy come una seccatura, o nel migliore
dei casi come una semplice formalità. In particolare una
breve navigata in rete ci fa rendere conto come gli
adempimenti riguardanti le informative da pubblicare sui
siti web, siano effettuati in modo molto
approssimativo. Questa “leggerezza” da parte dei
Titolari del trattamento li espone non solo al rischio
di sanzioni da parte del Garante, ma anche alla
diffidenza dei potenziali clienti che in genere tendono
a prediligere i siti web che forniscono informazioni
chiare, specifiche ed in maniera trasparente. In alcuni
casi i due fattori possono essere addirittura collegati
tra loro, così come è accaduto per un recente
provvedimento del Garante.
Questi i fatti, lo scorso agosto
2010 un cittadino si collegava al sito
www.ambientelavoro.it per l’acquisto di un biglietto per
una manifestazione, tuttavia in fase di complilazione
del form di registrazione, leggendo l’informativa
privacy, veniva a conoscenza del fatto che i dati
personali forniti sarebbero stati riportati "per fini
promozionali sul sito e negli stampati" relativi alla
manifestazione. Non essendo prevista la possibilità di
esprimere uno specifico consenso per la ricezione di
materiale pubblicitario, il cittadino ha pensato bene di
inviare una segnalazione all’Autorità Garante,
segnalando la circostanza.
A seguito della segnalazione il
Garante avviava un’istruttoria dalla quale emergeva che
effettivamente le informative pubblicate sui siti della
società, prevedevano un unico consenso comprendente sia
l'iscrizione alla manifestazione sia l'autorizzazione al
trattamento dei dati per finalità statistiche e
promozionali.
Sulla base dell’art. 23 del Codice
Privacy, con il quale si dispone che il consenso al
trattamento deve essere informato, libero, espresso,
specifico e documentato, il Garante ha ritenuto che nel
caso specifico la libertà nel conferimento del consenso
fosse stata limitata. In sostanza l’utente non poteva
negare il proprio consenso relativamente alle finalità
promozionali, senza dover rinunciare al conseguimento
della prestazione richiesta (in questo caso l’acquisto
del biglietto).
Il Garante ha inoltre rilevato
l’inidoneità dell’informativa in quanto non rispondente
a quanto disposto dall’art. 13 del Codice Privacy, e la
conseguente illiceità del trattamento dei dati,
disponendo il divieto del trattamento dei dati personali
già acquisiti nonché l’adozione di misure necessarie e
opportune, tramite il rilascio di un'idonea informativa
e l'acquisizione di un consenso libero, specifico e
documentato, al fine di rendere il detto trattamento dei
dati personali conforme alle dette disposizioni del
Codice.
Prendendo spunto da questo caso in
particolare, ci si può rendere conto di quante siano le
aziende attualmente esposte al medesimo rischio di
divieto del trattamento, che in alcuni casi potrebbe
avere anche conseguenze gravi per il normale svolgimento
dell’attività aziendale. Troppe volte si trascurano le
conseguenze derivanti dalla mancata osservanza della
normativa in materia di trattamento dei dati personali
tramite web, oppure gli adempimenti quali le
informative, sono delegate alle web agencies, le quali
tuttavia tendono ad inserire testi standard senza tenere
in considerazione le specifiche caratteristiche dei
singoli trattamenti.
Registro dei provvedimenti
n. 112 del 23 marzo 2011
IL GARANTE PER LA PROTEZIONE DEI
DATI PERSONALI
NELLA riunione odierna, in presenza
del prof. Francesco Pizzetti, presidente, del dott.
Giuseppe Chiaravalloti, vice presidente, del dott. Mauro
Paissan e del dott. Giuseppe Fortunato, componenti, e
del dott. Daniele De Paoli, segretario generale;
VISTO il Codice in materia di
protezione dei dati personali (d.lg. 30 giugno 2003, n.
196, di seguito "Codice");
VISTE le osservazioni formulate dal
segretario generale ai sensi dell'art. 15 del
Regolamento del Garante n. 1/2000;
VISTA la segnalazione dell'ing.
Maurizio Sarni del 28 agosto 2010, con la quale questi
ha lamentato che la società ModenaFiere srl (di seguito:
"la società"), afferente al gruppo BolognaFiere S.p.A.,
nell'informativa ex art. 13 del Codice relativa al form
di registrazione del sito www.ambientelavoro.it,
rilasciata ai fini della vendita on line di un biglietto
per la manifestazione "Ambiente Lavoro Convention" del
6-7 ottobre 2010, avvisava che i dati personali forniti
sarebbero stati riportati "per fini promozionali sul
sito e negli stampati" relativi alla detta
manifestazione;
VISTA la nota del 14 dicembre 2010,
in risposta a una richiesta di informazioni di questa
Autorità, nella quale la società ha ammesso di aver
rilasciato "per un mero refuso elettronico" la detta
informativa e ha prodotto all'Ufficio un nuovo testo
messo a disposizione degli interessati per il tramite
della società Best Union incaricata della vendita dei
biglietti mediante la rete Internet;
RILEVATO che il nuovo testo
dell'informativa prevede che i dati forniti saranno
utilizzati "per fini statistici e promozionali", e che
nel modulo di registrazione allegato alla suindicata
nota di risposta è previsto un consenso unico
comprendente sia l'iscrizione alla convention
organizzata dalla società sia l'autorizzazione al
trattamento dei dati personali per le suddette finalità
statistiche e promozionali;
VISTO che, in occasione
dell'istruttoria avviata sulla detta segnalazione,
l'Ufficio ha condotto un accertamento anche su un
ulteriore sito utilizzato dalla medesima società
(www.modenafiere.it), rilevando che questa, nel form
relativo all'area "contatti", non richiede il consenso
espresso e distinto per le diverse finalità di
diffusione e pubblicazione di dati tramite il sito
medesimo, periodici e riviste specializzate, per quella
di trasferimento dei dati personali all'estero, nonché
per la finalità – emergente dal detto form - di
inserimento dei dati raccolti in "liste per l'invio di
materiale informativo, pubblicitario e promozionale";
VISTO l'art. 23, comma 3, del
Codice, il quale prevede invece che il trattamento di
dati personali da parte dei privati è ammesso solo
previa acquisizione di un consenso dell'interessato
libero, informato e specifico, con riferimento a
trattamenti chiaramente individuati, e da documentare
per iscritto;
CONSIDERATO, inoltre, che, come già
rilevato da questa Autorità (provv. 22 febbraio 2007,
doc. web n. 1388590; provv. 12 ottobre 2005, doc. web
n. 1179604; provv. 3 novembre 2005, doc. web n.
1195215; provv. 10 maggio 2006, doc. web n. 1298709 in
www.garanteprivacy.it; provv. 15 luglio 2010, doc. web
n. 1741998), non può definirsi "libero", e risulta
indebitamente necessitato, il consenso a ulteriori
trattamenti di dati personali che l'interessato "debba"
prestare quale condizione per conseguire una prestazione
richiesta, e che gli interessati devono essere messi in
grado di esprimere consapevolmente e liberamente le
proprie scelte in ordine al trattamento dei dati che li
riguardano, manifestando il proprio consenso -allorché
richiesto per legge- per ciascuna distinta finalità
perseguita dal titolare (cfr. provv. 24 febbraio 2005,
punto 7, in www.garanteprivacy.it, doc. web n. 1103045);
RILEVATA l'inidoneità
dell'informativa ex art. 13 del Codice, pubblicata sul
sito www.modenafiere.it, che non indica la finalità di
invio di comunicazioni promozionali presente invece nel
suindicato form di registrazione, né specifica in modo
chiaro e preciso i soggetti o le categorie di soggetti
situati all'estero cui i dati personali raccolti vengono
comunicati;
CONSIDERATO che le attività di
trattamento dei dati, come sopra individuate, effettuate
dalla società senza il relativo consenso specifico e
un'idonea informativa costituiscono quindi un
trattamento illecito di dati;
CONSIDERATO, inoltre, che dal sito
www.ambientelavoro.it utilizzato dalla società emerge
che questa ha in programma altri eventi analoghi alla
manifestazione "Ambiente Lavoro Convention" dell'ottobre
2010;
CONSIDERATO che il Garante, ai
sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,
lett. d), del Codice, ha il compito di vietare anche
d'ufficio il trattamento illecito o non corretto dei
dati o di disporne il blocco e di adottare, altresì, gli
altri provvedimenti previsti dalla disciplina
applicabile al trattamento dei dati personali;
RILEVATA la necessità di adottare
nei confronti della società un provvedimento di divieto
del trattamento illecito di dati personali ai sensi
degli artt. 143, comma 1, lett. c) e 154, comma 1, lett.
d) del Codice correlato alle attività di tipo
statistico, di invio di comunicazioni promozionali, di
diffusione di dati personali sul sito
www.modenafiere.it, su periodici e riviste
specializzate, nonché di trasferimento dei dati
personali all'estero, in assenza di un'inidonea
informativa e senza l'acquisizione del necessario
consenso libero, specifico e documentato degli utenti
dei suindicati siti, i quali si siano registrati e
tuttora si registrino ai medesimi;
RILEVATA, altresì, la necessità di
adottare nei confronti della società un provvedimento
prescrittivo ai sensi degli artt. 143, comma 1, lett. b)
e 154, comma 1, lett. c) del Codice;
TENUTO CONTO che, ai sensi
dell'art. 170 del Codice chiunque, essendovi tenuto, non
osserva il presente provvedimento di divieto è punito
con la reclusione da tre mesi a due anni, e che, ai
sensi dell'art. 162, comma 2-ter del Codice, in caso di
inosservanza del medesimo provvedimento, è altresì
applicata in sede amministrativa, in ogni caso, la
sanzione del pagamento di una somma da trentamila a
centottantamila euro;
RILEVATO, inoltre, che l'art. 11,
comma 2, del Codice prevede che i dati personali
trattati in violazione della disciplina rilevante in
materia di dati personali non possono essere utilizzati;
RISERVATA, con autonomo
procedimento, la verifica dei presupposti per contestare
al predetto titolare del trattamento le eventuali
violazioni amministrative di competenza di questa
Autorità;
CONSIDERATO che resta
impregiudicata la facoltà per gli interessati di far
valere i propri diritti in sede civile in relazione alla
condotta accertata (cfr. anche art. 15 del Codice), con
specifico riguardo agli eventuali profili di danno;
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio,
formulate dal segretario generale ai sensi dell'art. 15
del regolamento del Garante n. 1/2000 del 28 giugno
2000;
RELATORE il dott. Giuseppe
Fortunato;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara illecito il trattamento
dei dati personali effettuato da ModenaFiere s.r.l., con
sede legale in Modena, Viale Virgilio, n. 58/B, tramite
l'invio di comunicazioni promozionali, l'attività
statistica, la diffusione di dati personali sul sito
www.modenafiere.it, su periodici e riviste
specializzate, nonché tramite il trasferimento dei dati
personali all'estero, in assenza di un'idonea
informativa ex art. 13 del Codice e di un consenso
libero, specifico e documentato degli interessati ex
art. 23 del Codice;
b) ai sensi degli artt. 143, comma
1, lett. c) e 154, comma 1, lett. d), del Codice, vieta
a Modenafiere s.r.l. l'ulteriore trattamento dei dati
personali già acquisiti per le finalità suindicate,
effettuato dalla medesima senza aver rilasciato
un'idonea informativa e aver ottenuto il suddetto
consenso;
c) ai sensi degli artt. 143, comma
1, lett. b) e 154, comma 1, lett. c), del Codice,
prescrive a Modenafiere s.r.l. - qualora quest'ultima
intenda continuare a inviare comunicazioni promozionali
- di adottare le misure necessarie e opportune, tramite
il rilascio di un'idonea informativa e l'acquisizione di
un consenso libero, specifico e documentato, al fine di
rendere il detto trattamento dei dati personali conforme
alle dette disposizioni del Codice;
d) ai sensi degli artt. 143, comma
1, lett. b) e 154, comma 1, lett. c) del Codice,
prescrive a Modenafiere s.r.l. - qualora quest'ultima
intenda continuare a raccogliere on line dati personali
degli utenti – di modificare:
1) il form di raccolta dei dati
personali utilizzato per il sito www.ambientelavoro.it o
altro eventuale sito web, previsto per l'iscrizione a
eventi organizzati dalla medesima società, inserendo la
richiesta agli interessati di un preventivo consenso
distinto e facoltativo per ciascuna delle finalità
indicate nell'informativa ex art. 13 rilasciata dalla
società (promozionale e statistica);
2) il form di raccolta dei dati
personali sul sito www.modenafiere.it, all'area
"contatti", indicando, nell'informativa ex art. 13 del
Codice, le finalità del trattamento dei dati personali
con riferimento a tutte le diverse tipologie di attività
svolte dalla società stessa, e - in modo chiaro e
preciso - i soggetti o le categorie di soggetti situati
all'estero cui i dati personali raccolti vengono
trasferiti, e inserendo la richiesta agli interessati di
un preventivo consenso distinto e facoltativo per
ciascuna delle finalità perseguite in relazione al
trattamento dei dati degli interessati.
Avverso il presente provvedimento,
ai sensi dell'art. 152 del Codice, è possibile proporre
opposizione con ricorso all'autorità giudiziaria
ordinaria, e precisamente al tribunale del luogo ove
risiede il titolare del trattamento entro il termine di
trenta giorni dalla data di comunicazione del medesimo
provvedimento. Si ricorda che l'opposizione non sospende
l'esecuzione del provvedimento (v. art. 152, comma 5,
Codice).
Roma, 23 marzo 2011
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
De Paoli |
