Garante per la protezione
    dei dati personali


Campagne di marketingeffettuate tramite numeri di cellulari e indirizzi di posta elettronica:vietata la comunicazione a terzi dei dati raccolti senza idonea informativa

PROVVEDIMENTO DEL 24NOVEMBRE 2011

Registro dei provvedimenti
n. 451 del 24novembre 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Mauro Paissan;

PREMESSO

L'Autorità ha svolto, a partire dal mese di maggio 2010, un ciclo diaccertamenti ispettivi volti a verificare il rispetto della normativa inmateria di protezione dei dati personali, con particolare riferimento allecampagne di marketing effettuate tramite numeri di cellulari (per l'invio disms e mms) e indirizzi di posta elettronica (per l'invio di email pubblicitarie,cd. DEM).

Nell'ambito di tale attività, in data 23, 24 e 25 febbraio 2011 èstata oggetto di ispezione Aimon s.r.l. (di seguito "Aimon" o"società"), con sede legale a Mirano (VE), via Ballò, 41/A.

Aimon è un'azienda costituita come società a responsabilità limitatanell'anno 2009, che offre servizi basati sull'invio di messaggi ad utenze ditelefonia mobile. In precedenza, le attività commerciali  iniziate nel2000  venivano svolte da un'impresa individuale gestita dal medesimotitolare. La principale attività di Aimon consiste nell'offerta di servizi diinvio di sms e mms per conto di aziende, privati e soggetti pubblici, perconsentire loro di trasmettere comunicazioni a proprie liste di destinataritramite una piattaforma informatica. Per poter usufruire di tali servizi, ènecessario che l'utente si registri sul sito www.aimon.it e accetti le"Condizioni generali di contratto", nonché la "Normativa sullaprivacy", ivi consultabili in apposite, distinte schermate (pop-up).

I form presenti sul sito, da compilare ai fini della registrazione,variano a seconda che l'utente intenda limitarsi a inviare messaggigratuitamente mediante la piattaforma messa a disposizione dalla società o,piuttosto, acquistare i "pacchetti" di invio di sms sopra descritti.I soli dati richiesti al fine di inviare messaggi gratuitamente sono nome,cognome, indirizzo email e numero di telefono mobile, mentre, nella secondaipotesi, è necessario inserire nell'apposito form anche altre informazioni,quali ragione sociale, tipo di azienda, partita iva (in caso di aziende),codice fiscale (in caso di privati), nonché la password da usare per ilservizio.

I rappresentanti della società hanno dichiarato che il databasecontenente i dati degli iscritti è ospitato sui server di Ovus.it s.r.l.,società di Bologna che fornisce ad Aimon anche altri servizi, relativi acomponenti hardware e software, e che ha realizzato la piattaforma di invio deimessaggi. I rappresentanti hanno dichiarato altresì che i rapporti tra Aimon eOvus.it non sono attualmente regolati da alcun accordo scritto, in quanto vieneeffettuato un ordine ed emessa una fattura per ogni singolo servizio (cfr.verbale del 23 febbraio 2011, pag. 2). Non risulta pertanto che Ovus.it sia maistata designata responsabile del trattamento da parte di Aimon, la quale hapertanto posto in essere una comunicazione a terzi di dati personali in assenzadi una idonea informativa e del consenso, ove necessario.

Nel corso degli accertamenti si è verificato che, per perfezionare laregistrazione, l'utente deve attendere una email e un sms di conferma:accedendo al sito tramite il link presente nella email, l'utente inserisce ilcodice inviatogli dal sistema al numero di cellulare che ha indicato all'attodella registrazione e, in tal modo, è abilitato all'accesso alla piattaforma diinvio degli sms, nonché all'area web dedicata all'invio degli sms gratuiti.

I rappresentanti della società hanno dichiarato che i dati degliutenti che devono confermare la propria registrazione permangono nel sistemaper dieci giorni circa, dopodiché vengono automaticamente eliminati se noninterviene la conferma. Hanno inoltre dichiarato che, a seguito della conferma,l'account dell'utente rimane attivo per un anno e si rinnova di un ulterioreanno a seguito di ogni acquisto. Dagli accertamenti è emerso che gli iscrittisono in totale 15.000 circa, fra i quali soltanto 1.500 "paganti"(ossia utenti che hanno acquistato servizi) e 13.194 attivi, e che gli invii disms effettuati tramite la piattaforma di Aimon variano da due a quattro milionicirca ogni mese.

Dagli accertamenti è emerso che nell'area di amministrazione del sito alla quale accede esclusivamente il rappresentante legale della società, nonchéunico amministratore del sito web  è presente una pagina denominata"elenco utenti", nella quale è possibile visualizzare, oltre ai nomi,agli indirizzi email e ai numeri di telefono mobile degli utenti, anche i loroindirizzi Ip e le password (che possono essere successivamente modificate)inserite dagli stessi all'atto della registrazione. Si è verificato inoltreche, "cliccando" sul nome di ciascun utente, è possibile visualizzareanche il dettaglio degli acquisti di sms effettuati (cfr. verbale del 24febbraio 2011, pag. 2).

Ogni utente dispone poi nella propria area riservata di un archivio,nel quale può conservare il testo dei messaggi inviati con l'indicazione deidestinatari degli stessi e della data di invio. Dagli accertamenti è emersoche, in ogni caso, tali informazioni sulle comunicazioni realizzate dagliutenti sono presenti nell'archivio di Aimon, nonché sui sistemi della societàOvus.it; in particolare, la conservazione di tali dati da parte di Ovus.it sisarebbe resa necessaria, secondo quanto dichiarato dai rappresentanti di Aimon,a seguito di richieste della Polizia postale (cfr. verbale del 24 febbraio2011, pag. 3).

Per quanto concerne i fornitori dei "pacchetti" di sms,ossia i soggetti ai quali Aimon si rivolge per l'acquisto del traffico di smsda inviare alle numerazioni indicate dai propri clienti,  i rappresentantidella società hanno dichiarato che Aimon si avvale per il 20% circa delfatturato di fornitori stranieri con sede all'interno dell'Unione europea.Dagli accertamenti è emerso, in particolare, che Aimon acquista in modalità prepagatagrandi quantità di sms da fornitori, anche stranieri (spesso essi stessiclienti di Aimon) per rivenderli, a sua volta, a clienti stranieri cheintendono inviare sms in Italia.

I rappresentanti della società hanno dichiarato che, di regola, in talicasi i rapporti sono improntati sulla correttezza degli adempimenti e sullapuntualità nei pagamenti, senza necessità di formalizzazione scritta degliaccordi (cfr. verbale del 25 febbraio 2011, pag. 2). Nel corso degliaccertamenti, sono stati comunque acquisiti, a titolo esemplificativo, icontratti stipulati da Aimon con le società Belgacom International CarrierServices SA (con sede in Belgio), CM Telecom BV (con sede in Olanda), EricssonTelecomunicazioni S.p.A. e Edistar s.r.l. (entrambe con sede legale in Italia),anche se non risulta in nessun modo che tali fornitori, ai quali Aimon comunicai dati dei propri clienti al fine di consentire l'invio degli sms, siano maistati designati responsabili del trattamento da parte della società. Aimon,quindi, anche in questo caso, effettua una comunicazione di dati a terzi inassenza di informativa e consenso, ove necessario.

Oltre alla fornitura dei servizi di invio di sms gratuiti e di inviodi "pacchetti" di sms a pagamento, Aimon ha da poco avviato anchel'attività di "sms advertising", ossia di marketing tramite sms. Alriguardo, è emerso che la società non ha mai utilizzato i numeri di cellularepresenti nel proprio database e che, per tale attività, si avvale dellacollaborazione di R&D Communication s.r.l. di Verona (di seguito,"RDCom"). I rappresentanti della società hanno dichiarato che, perogni ordine di invio di sms pubblicitari ricevuto, Aimon si rivolge a RDCom, laquale, a sua volta, non disponendo di un proprio database, utilizza –perquanto a conoscenza della società  quelli di Telecom Italia S.p.A.,Vodafone Omnitel NV e H3G S.p.A. (cfr. verbale del 23 febbraio 2011, pag. 3).

L'attività viene gestita direttamente da RDCom, alla quale Aimoninoltra le richieste di preventivo che le giungono tramite l'apposita funzionepresente sul sito. Dagli accertamenti è emerso che Aimon mette in contatto ipotenziali clienti e RDCom senza che questa abbia mai visibilità dei dati deiclienti stessi, in nessuna delle diverse fasi dell'attività di sms advertising(cfr. verbale del 24 febbraio 2011, pag. 4).

Per quanto concerne l'attività di registrazione di nomi a dominio,anch'essa rientrante tra i servizi offerti da Aimon alla propria clientela, irappresentanti della società hanno dichiarato che Aimon si avvale dei servizidella società REM Graphic s.r.l. di Ancona (di seguito, "REM"). Nelcaso in cui un utente richieda la registrazione di un nome a dominio, Aimonraccoglie la documentazione necessaria e la trasmette a REM, che cura irelativi adempimenti. Tale attività ha carattere del tutto residuale per Aimon,alla quale si rivolgono, per la registrazione di nomi a dominio, circa due-treclienti all'anno. In ogni caso, come dichiarato dai rappresentanti della società,la collaborazione con REM non è regolata da rapporti scritti (cfr. verbale del25 febbraio 2011, pag. 3) e, quindi, anche in questo caso, Aimon effettua unacomunicazione a terzi di dati personali in assenza di informativa e consenso.

In ragione di quanto sopra evidenziato con specifico riguardoall'attività svolta da Aimon nell'ambito delle campagne di marketing effettuatetramite numeri di cellulari (c.d. sms advertising), si rileva che essa nonpresenta aspetti di criticità dal punto di vista della normativa in materia diprotezione dei dati personali.

Viceversa, con riferimento ai servizi di invio e ricezione degli smssopra descritti, si evidenzia che la comunicazione, da parte di Aimon, dei datipersonali dei propri clienti alle diverse società delle quali si avvale –Ovus.itper i server che ospitano il database; Belgacom International Carrier ServicesSA, CM Telecom BV, Ericsson Telecomunicazioni S.p.A. e Edistar s.r.l., nonchétutti gli altri fornitori per l'invio dei "pacchetti" di sms risulta effettuata in violazione della normativa in materia di protezione deidati personali.

Analoga situazione si rileva in merito all'attività di registrazionedi nomi a dominio, nella quale, come si è visto, Aimon comunica i datipersonali dei richiedenti a REM Graphic s.r.l. in assenza di informativa econsenso.

La comunicazione a terzi che viene realizzata nell'ambito di taliattività dovrebbe essere riportata chiaramente nell'informativa resa sul sitoal momento della registrazione, eventualmente anche con l'indicazione dellecategorie di destinatari dei dati (cfr. art. 13, comma 1, del Codice), edovrebbe essere sottoposta al preventivo consenso degli interessati, laddovenon sussista una delle esenzioni previste dall'art. 24 del Codice, come, adesempio, nell'ipotesi in cui la comunicazione risulti necessaria per lafornitura del servizio oggetto del contratto (art. 24, comma 1, lett. c), delCodice).

Pertanto, con riferimento a tali trattamenti, si rileva che l'art. 11,comma 2, del Codice prevede che non possono essere utilizzati i dati personalitrattati in violazione della disciplina rilevante in materia di dati personali.Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett.d), del Codice, ha in tal caso il compito di vietare, anche d'ufficio, in tuttoo in parte, il trattamento illecito o non corretto dei dati o di disporne ilblocco e di adottare, altresì, gli altri provvedimenti previsti dalladisciplina applicabile al trattamento dei dati personali.

Si rileva, quindi, la necessità di adottare nei confronti di Aimon unprovvedimento di divieto per aver comunicato i dati personali dei clienti inassenza di un'idonea informativa agli stessi ai sensi dell'art. 13 del Codice esenza aver acquisito uno specifico consenso, laddove necessario, ai sensidell'art. 23 del Codice.

Il Garante, inoltre, ai sensi degli artt. 143, comma 1, lett. b) e154, comma 1, lett. c), del Codice, ha il compito di prescrivere al titolare lemisure opportune o necessarie per rendere il trattamento conforme alledisposizioni vigenti. Pertanto, si ritiene necessario adottare nei confronti diAimon un provvedimento volto a prescrivere alla società le modifiche, daapportare ai form utilizzati per la registrazione al sito, opportune onecessarie per rendere il trattamento conforme alle disposizioni vigenti.

L'Autorità si riserva di verificare, con autonomo procedimento, lasussistenza dei presupposti per contestare le violazioni delle disposizioni dicui agli artt. 13, commi 1 e 23, del Codice e la conseguente applicazione dellesanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

Per quanto concerne, poi, la conservazione degli indirizzi Ip degliutenti, delle password inserite in fase di registrazione al sito, nonché deltesto dei messaggi inviati con l'indicazione dei destinatari degli stessi edella data di invio, si evidenzia che essa viola la normativa in materia didata retention, di cui all'art. 132 del Codice. Ciò, sia perché Aimon non può esserequalificata come fornitore di servizi di comunicazione elettronica avvalendosi infatti dell'attività di fornitori terzi  sul quale graval'obbligo di conservazione dei dati di traffico, sia per il fatto chedall'obbligo di conservazione, qualora questo fosse riconosciuto in capo adAimon, risulterebbero comunque esclusi i contenuti delle comunicazioni.

Pertanto, con riferimento a tali trattamenti, si ritiene necessarioadottare nei confronti di Aimon un provvedimento volto a prescrivere allasocietà le misure opportune o necessarie per rendere il trattamento conformealle disposizioni vigenti, con riserva di verificare, con autonomoprocedimento, i presupposti per l'eventuale contestazione della violazionedell'art. 132, comma 1, del Codice, ai sensi dell'art. 162-bis del Codice.

Si evidenzia che, ai sensi dell'art. 170 del Codice, chiunque,essendovi tenuto, non osserva il presente provvedimento di divieto è punito conla reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma2-ter, del Codice, in caso di inosservanza del divieto, è altresì applicata insede amministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro.

PER QUESTI MOTIVI ILGARANTE

a) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d) del Codice, rilevato che i dati personali di cui è stato accertatol'illecito trattamento non possono essere ulteriormente utilizzati (art. 11,comma 2, del Codice), vieta a Aimon s.r.l. di effettuare ulteriori trattamentidi dati personali consistenti nella comunicazione a terzi dei dati acquisitinell'ambito dei diversi servizi offerti alla propria clientela senza averfornito agli interessati un'idonea informativa ai sensi dell'art. 13, comma 1,del Codice e senza aver acquisito uno specifico consenso ai sensi dell'art. 23,del Codice;

b) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1,lett. c) del Codice, prescrive a Aimon s.r.l., di inserire nell'informativapresente nei form di raccolta dei dati necessari per la fornitura dei serviziofferti sul sito www.aimon.it la chiara indicazione dei soggetti (ancheeventualmente per categorie) ai quali i dati raccolti possono essere comunicati(art. 13, comma 1, lett. d), del Codice), nonché di predisporre un modulo ancheper la raccolta del consenso, salva la sussistenza di una delle ipotesi diesenzione dello stesso di cu all'art. 24 del Codice, dandone riscontro a questaAutorità entro e non oltre il termine di sessanta giorni dalla data diricezione del presente provvedimento;

c) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1,lett. c) del Codice, prescrive a Aimon s.r.l., di procedere alla cancellazione,dandone riscontro a questa Autorità entro e non oltre il termine di sessantagiorni dalla data di ricezione del presente provvedimento, degli indirizzi Ipdegli utenti, delle password dagli stessi inserite in fase di registrazione alsito, nonché del testo dei messaggi inviati con l'indicazione dei destinataridegli stessi e della data di invio.

Si ricorda che avverso il presente provvedimento è possibile, ai sensidell'art. 152 del Codice, proporre opposizione con ricorso all'autoritàgiudiziaria ordinaria entro il termine di trenta giorni dalla data dicomunicazione del medesimo provvedimento e che l'opposizione non sospendel'esecuzione del provvedimento (v. art. 152, comma 5 del Codice).

Roma, 24 novembre 2011

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale
De Paoli