Garante per la protezione
    dei dati personali


Campagne di marketing effettuate tramite numeri di cellulari: vietato l'invio di SMS promozionali senza il consenso degli interessati

Provvedimento del 10 giugno 2011

Registro dei provvedimenti
n. 229 del 10 giugno 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. ATTIVITň ISPETTIVA.
L'Autoritą ha svolto, a partire dal mese di maggio 2010, un ciclo di accertamenti ispettivi volti a verificare il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento alle campagne di marketing effettuate tramite numeri di cellulari (per l'invio di sms e mms) e indirizzi di posta elettronica (per l'invio di email pubblicitarie, cd. DEM).

Nell'ambito di tale attivitą, in data 8, 9 e 10 settembre 2010, Ź stata oggetto di ispezione B.B.J. s.r.l. (di seguito "B.B.J.", con sede legale in Milano, Via Alamanni, 16/2.3).

Nel corso dell'accertamento ispettivo (e nella successiva nota datata 22 settembre 2010), B.B.J. ha dichiarato:

- di essere una societą che svolge diverse attivitą in ambito Internet: dalla realizzazione di siti web (compreso il servizio di housing) all'ideazione di campagne pubblicitarie, veicolate tramite banner, email e sms, dalla gestione di concorsi a premi alla fornitura di una piattaforma per l'invio di email massive cd. "bulk email” (cfr. verbale dell'8 settembre 2010, pag. 2 e verbale del 9 settembre, pag. 4);

- che le attivitą di fornitura della piattaforma per l'invio di email e di gestione di concorsi a premi sono le uniche in ordine alle quali B.B.J. effettua trattamenti di dati personali (cfr. verbale dell'8 settembre 2010, pag. 3);

- che non dispone di banche-dati di soggetti a cui inviare sms o email promozionali, ma si avvale, per svolgere attivitą di marketing richieste dai propri clienti, di "fornitori” a cui commissiona l'invio dei messaggi pubblicitari per conto dei propri clienti (cfr. verbale dell'8 settembre 2010, pag. 2 e nota del 22 settembre 2010, pag. 1).

In sostanza B.B.J. ha dichiarato che, generalmente, per quanto riguarda le attivitą di marketing effettuate mediante l'invio di sms e email, non tratta dati personali, ma svolge la funzione di intermediario fra il cliente (che richiede la pubblicitą) e i soggetti cd. "fornitori” che dispongono di database, contenenti numeri di utenze telefoniche mobili o indirizzi di posta elettronica, a cui inoltrano direttamente i messaggi promozionali.

2. RAPPORTO CON CEMIT E BUONGIORNO PER L'INVIO DI SMS DI PROPAGANDA ELETTORALE.
Dalle dichiarazioni rese e dalla documentazione acquisita, risulta che in un caso B.B.J. ha trattato dati personali per la realizzazione di una campagna di marketing tramite sms.
Infatti, Ź emerso che, all'atto dell'accertamento ispettivo, era attivo un solo contratto per la erogazione di servizi legati a campagne di marketing mediante sms e cioŹ quello stipulato con la societą Cemit Interactive Media S.p.A. (di seguito "Cemit") per l'invio di sms pubblicitari (risultati poi essere quelli di propaganda elettorale, per conto del partito politico "Popolo della Libertą”, in relazione alle elezioni regionali svoltesi nel marzo del 2010).

Dall'esame di tale contratto Ź risultato che B.B.J. avrebbe detenuto una propria banca-dati di numeri di telefoni cellulari che avrebbe poi trasferito a un altro soggetto, Buongiorno Marketing Services S.p.A. (di seguito "Buongiorno"), affinché curasse l'inoltro degli sms (anche il contratto con Buongiorno risultava confermare tale circostanza, cfr. all. 18 al verbale del 9 settembre 2010).

B.B.J., nel corso dell'accertamento ispettivo, ha sostenuto che il contenuto degli accordi stipulati con Cemit e con Buongiorno non corrispondeva alla realtą dei rapporti in concreto posti in essere fra le tre societą. Secondo tale prima ricostruzione, infatti, Cemit aveva richiesto a B.B.J. di effettuare una campagna di marketing mediante sms e B.B.J., non detenendo alcun database di numeri di cellulari, si era rivolta come da prassi a Buongiorno, suo "fornitore” abituale di numeri di cellulare, per la concreta realizzazione, non trattando, dunque, alcun dato personale (cfr. verbale del 9 settembre 2010, pag. 5).

Successivamente, con una nota inviata "a rettifica delle dichiarazioni messe a verbale”, perė i dirigenti di B.B.J. hanno rappresentato che la realtą dei fatti corrispondeva a quanto contenuto nel contratto e che, in effetti, B.B.J. aveva trasmesso a Buongiorno una banca dati di numeri di cellulari. Tale banca dati era nella disponibilitą di B.B.J. in quanto, solo per questa campagna, le era stata trasmessa da Cemit (cfr. nota del 22 settembre 2010 e relativo all. 2).

Nella nota di rettifica B.B.J. ha specificato che il rapporto fra le tre societą prevedeva che Cemit trasferisse a B.B.J. una banca-dati di numeri di utenze telefoniche mobili (oggetto della proposta contrattuale inviata in data 18 marzo 2010), affinché quest'ultima realizzasse una campagna di marketing via sms. B.B.J. ha poi deciso di trasmettere tale banca dati a Buongiorno affinché curasse la concreta realizzazione della campagna (cfr. dichiarazione resa nella nota del 22 settembre 2010, pag. 2: "BBJ subappaltava a Buongiorno l'incarico ricevuto da Cemit, sottoscrivendo il Contratto e procedendo a suo volta a nominare regolarmente Buongiorno come responsabile esterno del trattamento").

Sotto il profilo della distribuzione delle responsabilitą nell'ambito del trattamento, Cemit, in qualitą di responsabile del trattamento, aveva designato una dipendente della societą B.B.J. quale incaricato ai sensi dell'art. 30 del Codice, proprio in relazione alle attivitą da svolgere sui dati trasferiti. Successivamente, B.B.J. aveva predisposto, a sua volta, la designazione di Buongiorno quale responsabile del trattamento (cfr. nota del 22 settembre 2010, pag. 2 e relativi all. 2 e 3).

L'acquisizione e il successivo trasferimento del database contenente numeri di utenze telefoniche mobili provenienti da Cemit evidenzia un'errata impostazione delle attivitą di marketing svolte mediante l'utilizzo di numeri di telefoni cellulari, come risulta anche dalle dichiarazioni rese e dalla documentazione acquisita nel corso dell'accertamento ispettivo effettuato presso Cemit in data 13 e 14 ottobre 2010.

Le criticitą sono tanto piĚ rilevanti se si considera che la campagna di marketing commissionata da Cemit, era in realtą una campagna di propaganda elettorale svolta attraverso diversi canali di comunicazione (sms e email) per la quale l'Autoritą ha ricevuto numerose segnalazioni.

Nella fattispecie in esame rileva che Cemit ha trasferito il database di numeri di cellulare (di cui disponeva legittimamente, avendolo ricevuto dal partito politico, titolare del trattamento, che l'aveva designata quale responsabile) a B.B.J. Al fine di dare una cornice di legittimitą a tale trasferimento, Cemit ha ritenuto di designare una dipendente di B.B.J. quale incaricato del trattamento (cfr. all. 3 alla nota del 22 settembre 2010 e verbale dell'ispezione effettuata presso Cemit del 13 ottobre 2010, pag. 3).

A sua volta, B.B.J. ha comunicato tale database a Buongiorno, affinché provvedesse all'inoltro degli sms mediante la propria piattaforma di invio, designando quest'ultima responsabile del trattamento.

Tuttavia, tale ultima designazione non appare corretta sotto il profilo del trattamento dei dati personali in questione, in quanto Cemit aveva inteso modulare la distribuzione dei compiti e delle responsabilitą con la nomina della dipendente di B.B.J. quale incaricato del trattamento e non aveva preso in considerazione l'intervento di altri soggetti nelle attivitą di marketing richieste.

Pertanto, B.B.J., trasferendo a Buongiorno la banca dati ricevuta da Cemit, ha effettuato un trattamento di dati personali, in qualitą di autonomo titolare, decidendo di "subappaltare” a Buongiorno l'attivitą richiesta.

Alla luce di quanto detto, il trasferimento del database (ricevuto da Cemit) da B.B.J. (tramite una propria dipendente) a Buongiorno si configura come un illegittimo trattamento di dati personali, in quanto B.B.J. ha comunicato a Buongiorno dati personali acquisiti da un terzo (Cemit) senza fornire agli interessati la necessaria informativa (art. 13, comma 4 del Codice) e senza aver acquisito il previsto consenso (art. 23 del Codice).

3. CONCLUSIONI.
Per quanto riguarda gli aspetti evidenziati nel paragrafo 2, si rileva che l'art. 11, comma 2, del Codice prevede che non possono essere utilizzati i dati personali trattati in violazione della disciplina rilevante in materia di dati personali. Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha in tal caso il compito di vietare, anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresď, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali.

Si rileva quindi la necessitą di adottare nei confronti di B.B.J. un provvedimento di divieto del trattamento di dati personali, consistente nella comunicazione dei dati presenti nel database (oggetto della proposta contrattuale inviata in data 18 marzo 2010) ricevuto da Cemit e poi trasmesso a sua volta da B.B.J. (tramite una propria dipendente) a Buongiorno, senza aver rilasciato agli interessati una idonea informativa ai sensi dell'art. 13 del Codice e senza aver acquisito uno specifico consenso ai sensi dell'art. 23 del Codice.

L'Autoritą si riserva di verificare, con autonomo procedimento, con riferimento a quanto esposto nel paragrafo 2, la sussistenza dei presupposti per contestare le violazioni amministrative di cui agli artt. 13, comma 4 e 161 del Codice e di cui agli artt. 23 e 162, comma 2 bis del Codice.

Si evidenzia che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto Ź punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2 ter, del Codice, in caso di inosservanza del divieto, Ź altresď applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

Si rileva che, per quanto riguarda tutte le ipotesi di sanzioni amministrative che si riterranno di applicare, l'Autoritą si riserva di valutare se sia possibile configurare anche l'ipotesi di fattispecie aggravata prevista dall'art. 164 bis, comma 3 del Codice poiché "la violazione coinvolge numerosi interessati".

PER QUESTI MOTIVI IL GARANTE

dichiara l'illecito trattamento dei dati personali e, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, rilevato che i dati personali di cui Ź stato accertato l'illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice) vieta a B.B.J. s.r.l. di effettuare ulteriori trattamenti di dati personali consistenti nella comunicazione a terzi dei dati presenti nel database, oggetto della proposta contrattuale in data 18 marzo 2010 e ricevuto da Cemit, in assenza di uno specifico consenso.

Si ricorda che avverso il presente provvedimento Ź possibile, ai sensi dell'art. 152 del Codice, proporre opposizione con ricorso all'autoritą giudiziaria ordinaria entro il termine di trenta giorni dalla data di comunicazione del medesimo provvedimento, e che l'opposizione non sospende l'esecuzione del provvedimento (v. art. 152, comma 5 del Codice).

Roma, 10 giugno 2011

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale reggente
De Paoli