Garante per la protezione
    dei dati personali


Invio di comunicazioni promozionaliindesiderate mediante posta elettronica

PROVVEDIMENTO DEL 20 DICEMBRE 2012

Registro dei provvedimenti
n. 429 del 20 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito «Codice»), e in particolare le disposizioni di cui agliartt. 7, 11, 13, 15, 23, 130, commi 1  (come modificato dall'art. 1, comma12, del d. lgs. 28 maggio 2012, n. 69) e 2, 143, 144 e 154;

VISTAla segnalazione pervenuta all'Autorità il 1° giugno 2012, con la quale il dott.XY ha lamentato il reiterato invio, da parte di Cesd S.r.l., titolare delmarchio "CEPU", di comunicazioni promozionali indesiderate medianteposta elettronica;

VISTEle note del 3 agosto 2012  e del 10 ottobre 2012, con cui la società hafornito riscontro a due analitiche richieste di informazioni dell'Ufficiorelativamente alla detta segnalazione, nonché le controdeduzioni del dott. XYdel 30 agosto 2012;

VISTIgli atti d'ufficio e le osservazioni formulate dal segretario generale ai sensidell'art. 15 del regolamento n. 1/2000;

RELATOREla prof.ssa Licia Califano;

PREMESSO:

Consegnalazione pervenuta all'Autorità il 1° giugno 2012, il dott. XY ha lamentatoil reiterato invio, da parte di Cesd S.r.l., di comunicazioni promozionaliindesiderate mediante posta elettronica. Il segnalante ha menzionato unprecedente ricorso presentato all'Autorità il 2 dicembre 2008, nei confrontidella medesima società e per la stessa attività di spam, ad esito del qualel'Autorità, con provvedimento del 12 marzo 2009, aveva dichiarato non luogo a provvedere anche perchéla società aveva assicurato di aver cancellato i dati personalidell'interessato.

Lasocietà, dando riscontro ad una prima richiesta di informazioni dell'Ufficioriguardo alla segnalazione, ha rappresentato che i dati personali, e inparticolare l'indirizzo di posta elettronica, del segnalante sarebbero statiacquisiti mediante un form di registrazione messo a disposizione sul sitowww.tuttogratis.it, che il dott. XY, in occasione di una campagna pubblicitariaormai esaurita, avrebbe compilato acconsentendo al trattamento dei suoi dati.

Ilsegnalante, nelle sue controdeduzioni, ha negato di aver compilato il formsopra indicato e di aver fornito il proprio consenso alla società per iltrattamento dei suoi dati per la finalità promozionale, lamentando la falsitàdelle affermazioni effettuate dalla medesima.

Lasocietà, riscontrando una seconda richiesta di ulteriori elementi formulatadell'Ufficio anche in considerazione delle dette controdeduzioni, si è limitataad allegare l'informativa per il trattamento dati rilasciata  alsegnalante -dalla quale risulta chiaramente che Cesd S.r.l. è titolare deltrattamento dei dati personali forniti dal segnalante e che i medesimi datisono stati raccolti, oltre che per le finalità contrattuali, anche per l'inviodi comunicazioni commerciali e materiale pubblicitario/informativo di beni eservizi peraltro "anche con modalità automatizzate, tramite telefono, SMS,MMS, fax, posta convenzionale, posta elettronica e connesse applicazioniWeb".

Lamedesima società, tuttavia,  nonostante l'apposita richiesta dell'Autorità,non ha fornito alcun elemento relativo al testo eventualmente utilizzato perl'acquisizione del consenso, né dato prova di averne acquisito uno specificodel segnalante per l'invio di comunicazioni promozionali.

Inoltre,da un accertamento condotto dall'Ufficio sul sito della società (www.cepu.it),in data 21 novembre 2012, si è rilevato che questa -nel form  destinatoalla richiesta di informazioni sui servizi forniti (quali ad es.: lavalutazione di crediti formativi, lo svolgimento di corsi di abilitazioneprofessionale, la preparazione di esami universitari)- utilizza un testoinformativo ex art. 13 del Codice, identico a quello usato per la campagnapromozionale di cui sopra, dal quale emerge che i dati personali degli utentidel sito vengono raccolti da Cesd S.r.l., in qualità di titolare deltrattamento, per la finalità di gestione del rapporto nonché per la eterogeneafinalità di invio di comunicazioni commerciali e materialepubblicitario/informativo di beni e servizi con le modalità automatizzate sopradescritte.

Inrelazione ai servizi forniti mediante il suindicato sito, la società, inoltre,richiede ai suoi utenti un consenso preimpostato, generico e indistinto per iltrattamento dei loro dati personali (quali, ad esempio, nome e cognome,indirizzo di posta elettronica, provincia, etcŠ.), senza acquisirne dunque unospecifico per la finalità promozionale.

Dall'accertamentocondotto, è emerso altresì che il consenso dell'utente è di fatto obbligatorio,dato che la società condiziona la registrazione al sito da parte degli utenti,e conseguentemente anche la fruizione dei servizi in questione, al rilascio,appunto, del consenso al trattamento per la finalità promozionale.

CIO' PREMESSO, IL GARANTE OSSERVA CHE:

Alcaso sottoposto all'attenzione dell'Autorità si applica la disciplina dell'art.23, comma 3 del Codice, secondo cui il trattamento di dati personali da partedei privati è ammesso solo previa acquisizione di un consenso dell'interessatolibero, informato e specifico, con riferimento a trattamenti chiaramenteindividuati e documentato per iscritto, nonché l'analogo disposto dell'art.130, commi 1 e 2 del Codice, in base al quale l'utilizzo di comunicazioni conmodalità automatizzate, come posta elettronica, telefax, Mms o Sms, per lafinalità di invio di materiale pubblicitario o di comunicazione commerciale èconsentito solo con il consenso del contraente o utente.

Siricorda, tuttavia, l'eccezione del c.d. "soft spam", di cui all'art.130, comma 4, in base al quale, se il titolare del trattamento utilizza, a finidi vendita diretta di propri prodotti o servizi, le coordinate di postaelettronica fornite dall'interessato nel contesto della vendita di un prodottoo di un servizio, può non richiedere il consenso dell'interessato, sempre chesi tratti di servizi analoghi a quelli oggetto della vendita e l'interessato,adeguatamente informato, non rifiuti tale uso.

Inoltre,come già rilevato da questa Autorità (provv. 22 febbraio 2007; provv.  12 ottobre 2005; provv.  3 novembre 2005; provv. 10 maggio 2006i; provv. 15 luglio 2010; più recentemente, provv. 11 ottobre 2012) non può definirsi "libero", e risultaindebitamente necessitato, il consenso a ulteriori trattamenti di datipersonali che l'interessato "debba" prestare quale condizione perconseguire una prestazione richiesta. Peraltro, gli interessati devono esseremessi in grado di esprimere consapevolmente e liberamente le proprie scelte inordine al trattamento dei dati che li riguardano, manifestando il proprioconsenso -allorché richiesto per legge- per ciascuna distinta finalitàperseguita dal titolare (cfr. provv.  24 febbraio 2005, punto 7).

L'attivitàdi trattamento dei dati, finalizzata all'invio di comunicazioni commerciali emateriale pubblicitario/informativo di beni e servizi, nella fattispeciemediante posta elettronica, effettuata dalla società senza il relativo consensospecifico costituisce quindi un trattamento illecito e non può essereproseguita ai sensi dell'art. 11, comma 2, del Codice, secondo cui i datipersonali trattati in violazione del Codice non possono essere utilizzati.Peraltro, va evidenziato che il trattamento posto in essere dalla società in ragione del mezzo del web utilizzato per la raccolta dei dati personali presenta carattere sistematico. Il Garante, ai sensi degli artt. 143, comma 1,lett. b) e c) e 154, comma 1, lett. c) e d), del Codice, ha il compito divietare anche d'ufficio il trattamento illecito o non corretto dei dati, didisporne il blocco nonché di impartire prescrizioni al fine di rendere iltrattamento dei dati -raccolti per la finalità di invio di comunicazionicommerciali e materiale pubblicitario/informativo mediante ciascuno dei mezziindicati nell'informativa rilasciata dalla società- conforme alla normativasopra richiamata.

Nellapresente fattispecie -fatta salva la facoltà per gli interessati di far valerei propri diritti in sede civile in relazione alla condotta accertata (cfr.anche art. 15 del Codice), con specifico riguardo agli eventuali profili didanno- sussistono i presupposti per contestare a Cesd S.r.l. le violazioniamministrative di competenza di questa Autorità; si ravvisa quindi la necessitàdi avviare un autonomo procedimento sanzionatorio nei confronti della medesima.

TUTTO CIÒ PREMESSO IL GARANTE:

a)dichiara illecito il trattamento effettuato da Cesd S.r.l., con sede legale inRoma, via della Ferratella in Laterano n. 25- nella fattispecie con l'invio dicomunicazioni commerciali e materiale pubblicitario/informativo mediante postaelettronica- dei dati personali degli utenti del sito www.cepu.it senza averneacquisito il necessario consenso libero, specifico e documentato per iscrittoex artt. 23, comma 3 e 130, commi 1 e 2, del Codice;

b)vieta a Cesd S.r.l., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154,comma 1, lett. d), del Codice, l'ulteriore trattamento dei dati personali giàacquisiti per la finalità di invio di comunicazioni commerciali e materialepubblicitario/informativo, effettuato dalla medesima senza aver ottenuto ilsuddetto consenso, fatto salvo l'eventuale esonero previsto dall'art. 130,comma 4 per il c.d. "soft spam";

c)prescrive a Cesd S.r.l., ai sensi degli artt. 143, comma 1, lett. b), 144 e154, comma 1, lett. c), del Codice, di adottare le  misure necessarie e opportuneal fine di rendere il trattamento dei dati personali conforme alle disposizionidel Codice, dandone -entro e non oltre il termine di sessanta giorni dalla datadi ricezione del presente provvedimento- riscontro documentato a questa Autoritàcomprovante l'avvenuto adeguamento, accompagnato da una dichiarazione dellegale rappresentante della società, rilasciata ai sensi e per gli effettidell'art. 168 del Codice.

d)dispone l'avvio di un autonomo procedimento sanzionatorio nei confronti di CesdS.r.l.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero. 

Roma, 20 dicembre 2012

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia