Garante per la protezione
    dei dati personali


Comunicazionipromozionali automatizzate: necessari l'informativa e il consensodell'interessato

PROVVEDIMENTO DEL 26OTTOBRE 2011

Registro dei provvedimenti
n. 407 del 26ottobre 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

L'Autorità ha svolto, a partire dal mese di maggio 2010, un ciclo diaccertamenti ispettivi volti a verificare il rispetto della normativa inmateria di protezione dei dati personali, con particolare riferimento allecampagne di marketing effettuate tramite numeri di cellulari (per l'invio disms e mms) e indirizzi di posta elettronica (per l'invio di emailpubblicitarie, cd. DEM).

Nell'ambito di tale attività, rispettivamente in data 10, 11 e 12maggio 2010 e 10, 11 e 12 novembre 2010, sono state oggetto di ispezione DadaS.p.A. (di seguito "Dada") e Register S.p.A. (di seguito"Register" o "società"), entrambe con sede legale aFirenze, Piazza Pietro Annigoni, 9/B.

Dada S.p.A. è la società capofila del gruppo Dada, che si occupadell'erogazione di molteplici servizi tramite Internet e comprende, tra lealtre, Register S.p.A. Nel corso degli accertamenti ispettivi, è emerso cheDada ha mantenuto le funzioni corporate e la gestione dei servizi c.d."legacy", fra i quali sono ricompresi i servizi a valore aggiunto(c.d. VAS), mentre Register si occupa di tutta l'attività pubblicitaria delgruppo, effettuando quindi nel concreto ogni operazione di mobile marketing eDEM per conto dello stesso.

Con riferimento all'invio di comunicazioni promozionali tramite sms, èemerso che i fornitori di utenze mobili dei quali si avvale Register perveicolare le campagne promozionali sono H3G S.p.A. (di seguito "H3G")e Eurosms di Luigi De Gobbi (di seguito "Eurosms", destinataria delprovvedimento del Garante del 30 giugno 2011, relativo proprio ai trattamentidi dati personali effettuati nell'ambito di campagne di mobile marketing eDEM).

I rappresentanti della società hanno dichiarato che tali fornitorieffettuano direttamente gli invii degli sms e non comunicano dati presenti neipropri database a Register, che pertanto non effettua alcun trattamento di datipersonali. Per quanto riguarda gli invii di messaggi promozionali su utenze diH3G, Register, a seguito della richiesta di un proprio cliente, richiede a H3Gdi effettuare l'estrazione dei numeri degli utenti che hanno prestato ilconsenso alla ricezione di messaggi promozionali e che presentano i parametririchiesti dal cliente. Il quantitativo disponibile degli utenti destinataridella campagna viene quindi comunicato da H3G a Register e da questa alcliente. In caso di accettazione da parte di quest'ultimo, Register provvede ainoltrare il testo del messaggio ricevuto dal cliente a H3G per l'invio (cfr.verbale del 10 novembre 2010, pag. 2).

Per quanto riguarda gli invii di messaggi promozionali su utenzefornite da Eurosms, la quantificazione dei cellulari sulla base dei parametririchiesti dai clienti viene effettuata direttamente da Register attraverso unapiattaforma informatica presente online sul sito di Eurosms (cfr. verbale del10 novembre 2010, pag. 3).

Con riguardo all'invio di DEM, dagli accertamenti è emerso che leattività svolte da Register riguardano tre distinte aree.

La prima si riferisce a invii di email promozionali e/o newsletterinformative a soggetti che, acquistando un dominio, hanno rilasciato unospecifico consenso previa informativa. I database dei soggetti che hannoespresso il consenso all'invio di DEM e newsletter contengono rispettivamente121.000 e 37.500 record (cfr. verbale dell'11 novembre 2010, pag. 3).

La seconda area riguarda il servizio denominato "Simply",che Register realizza tramite una società inglese controllata al 100% daRegister stessa, attraverso il sito www.simply.com. Tale sito consentel'incontro fra soggetti che dispongono di un sito web e soggetti che intendonoeffettuare promozioni pubblicitarie. Gli iscritti a Simply possono prestare ilconsenso, secondo la legislazione inglese, per la ricezione di emailpromozionali in relazione ai servizi di Simply e Register. Il database deisoggetti che hanno espresso il predetto consenso si compone di circa 25.000record (cfr. verbale dell'11 novembre 2010, pag. 4).

La terza area è quella relativa alle campagne promozionali cheRegister realizza in qualità di concessionaria di pubblicità avvalendosi dinove soggetti, titolari autonomi di database contenenti indirizzi email. Nellamaggior parte dei casi, Register non accede ai dati personali dei destinataridelle email promozionali, agendo soltanto in qualità di intermediaria, el'invio delle email avviene con un sistema analogo a quello utilizzato perl'invio degli sms tramite H3G e Eurosms, sopra descritto. Dagli accertamenti èemersa, invece, una situazione differente per due delle nove società e,precisamente, per City Italia S.p.A. (del gruppo RCS) e Excite Italia BV, chenon dispongono di una propria piattaforma di invio delle email e che hannoquindi messo a disposizione i propri database a Register. Questa effettua nelconcreto l'estrazione dei target sulla base delle richieste dei clienti, nonchél'invio delle email pubblicitarie, svolgendo quindi anche un'attività definitadai propri responsabili di "partner tecnologico" e trattandodirettamente i dati personali. Il database di Excite si compone di circa280.000 indirizzi email "consensati" e quello di City di circa 66.000(cfr. verbale del 12 novembre 2010, pag. 2).

I rappresentanti della società hanno dichiarato che per i trattamentidei dati personali presenti nei database di City ed Excite, Register non èstata designata responsabile del trattamento da parte di tali società (cfr.verbale dell'11 novembre 2010, pag. 4), svolgendo di conseguenza l'attivitàsopra descritta in qualità di titolare autonomo del trattamento in assenza diinformativa e consenso.

* * *

In ragione di quanto sopra evidenziato, l'attività svolta da Registernell'ambito delle campagne di marketing effettuate tramite numeri di cellulari(per l'invio di sms e mms) non accedendo la società ai dati personalidegli utenti non presenta aspetti di particolare interesse dal punto divista della normativa in materia di privacy.

Viceversa, con riferimento all'invio di email promozionali effettuatoda Register mediante accesso ai dati personali presenti nei database dellesocietà City Italia e Excite Italia, si evidenzia che il relativotrattamento  svolto da Register in assenza di informativa e consenso risulta effettuato in violazione della normativa in materia di protezione deidati personali.

Pertanto, con riferimento a tale ultimo trattamento, si rileva chel'art. 11, comma 2, del Codice prevede che non possono essere utilizzati i datipersonali trattati in violazione della disciplina rilevante in materia di datipersonali. Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma1, lett. d), del Codice, ha in tal caso il compito di vietare, anche d'ufficio,in tutto o in parte, il trattamento illecito o non corretto dei dati o didisporne il blocco e di adottare, altresì, gli altri provvedimenti previstidalla disciplina applicabile al trattamento dei dati personali.

Si rileva, quindi, la necessità di adottare nei confronti di Registerun provvedimento di divieto per aver trattato i dati personali presenti neipredetti database senza aver fornito agli interessati un'idonea informativa aisensi dell'art. 13 comma 4, del Codice e senza aver acquisito uno specificoconsenso per l'invio di comunicazioni promozionali automatizzate ai sensidell'art. 130, comma 2.

L'Autorità si riserva di verificare, con autonomo procedimento, lasussistenza dei presupposti per contestare le violazioni amministrative di cuiagli artt. 13, commi 1 e 4, e 130, comma 2, del Codice e la conseguenteapplicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis delCodice.

Si evidenzia che, ai sensi dell'art. 170 del Codice, chiunque,essendovi tenuto, non osserva il presente provvedimento di divieto è punito conla reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma2-ter, del Codice, in caso di inosservanza del divieto, è altresì applicata insede amministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro.

PER QUESTI MOTIVI ILGARANTE

ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d)del Codice, rilevato che i dati personali di cui è stato accertato l'illecitotrattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, delCodice) vieta a Register S.p.A. di effettuare ulteriori trattamenti di datipersonali presenti nei database delle società City Italia S.p.A. (del gruppoRCS) e Excite Italia BV senza aver fornito agli interessati un'idoneainformativa ai sensi dell'art. 13, comma 4, del Codice e senza aver acquisitouno specifico consenso per l'invio di comunicazioni promozionali automatizzateai sensi dell'art. 130, comma 2, del Codice.

Si ricorda che avverso il presente provvedimento è possibile, ai sensidell'art. 152 del Codice, proporre opposizione con ricorso all'autorità giudiziariaordinaria entro il termine di trenta giorni dalla data di comunicazione delmedesimo provvedimento e che l'opposizione non sospende l'esecuzione delprovvedimento (v. art. 152, comma 5 del Codice).

Roma, 26 ottobre 2011

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale reggente
De Paoli