Garante per la protezione
    dei dati personali


Acquisizione del consenso per servizion-line

PROVVEDIMENTO DEL 21 NOVEMBRE 2013

Registro dei provvedimenti
 n. 519 del 21 novembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e delConsiglio, relativa alla tutela delle persone fisiche con riguardo altrattamento dei dati personali, nonché alla libera circolazione di tali dati;

VISTAla direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e delConsiglio, relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche come da ultimo modificatadalla direttiva 2009/136/CE del 25 novembre 2009;

VISTAla segnalazione dell'avvocato Alessandro Frillici del 31 maggio 2013 con laquale si lamentava l'impossibilità di scaricare l'add-on gratuito del softwareper la firma digitale dal sito della Adobe Systems Italia (di seguito Adobe)senza aver previamente fornito il consenso al trattamento dei dati personaliper finalità di marketing;

VISTOche - per verificare le modalità con cui veniva effettivamente resal'informativa ed acquisito il consenso dei contraenti all'atto dell'iscrizioneal servizio - è stato effettuato un accertamento d'ufficio sul sitohttp://www.adobe.com/it/security/software/form.html simulando la registrazioneal servizio Download Add-on; da tale accesso sono emersi i seguenti elementi:

- i datirichiesti, da inserire obbligatoriamente, sono: ragione sociale, nome, cognome,indirizzo e-mail;

- incalce al form di inserimento dati è presente un link all'informativa sul trattamentodei dati personali dalla quale, mediante rimandi ad altre pagine diapprofondimento, si evince che per l'interessato è possibile solo modificare leproprie preferenze sul marketing variando le scelte impostate sul proprioaccount utente sul sito di Adobe oppure, in mancanza, inviando una richiesta dicancellazione all'indirizzo privacy@adobe.com mentre, per rifiutare laricezione di ulteriori messaggi promozionali via e-mail si può cliccare sullink di annullamento posto in fondo alle e-mail stesse;

- in calce al form di raccolta dati è presente una casella di spunta (c.d.checkbox) con la quale il contraente dichiara di aver preso atto della suddettainformativa ed esprime il consenso "al trattamento ed alla comunicazione,anche per finalità promozionali" dei dati personali da parte di Adobe; sesi invia la richiesta di download senza validare la casella del consenso, non èpossibile scaricare il software ed appare il messaggio "Il campo"Consenso" è obbligatorio. Per favore, compilate i campi sopra indicatie confermate nuovamente il modulo";

VISTAla nota del 28 ottobre 2013 con la quale la società ha rappresentato di averutilizzato, dal 2006 al 2011, i dati personali, raccolti con le modalitàsuddette, per inviare e-mail contenenti esclusivamente comunicazioniendocontrattuali specificando che "sebbene la formula di consensocontenesse l'espressione "finalità promozionali" l'uso che ineffetti è stato fatto dei dati era finalizzato ad inviare comunicazioni diservizio per segnalare il rilascio di nuove versioni dell'add-on";

VISTOche nella suddetta nota la società ha rappresentato che "a decorrere dalluglio 2013 Adobe Italia ha abolito il processo di registrazione per ildownload dell'add-on ed eliminato conseguentemente la richiesta di consenso alricevimento di comunicazioni da parte di Adobe Italia";

VISTOl'art. 23, comma 3, del Codice, il quale prevede che il trattamento di datipersonali da parte dei privati è ammesso solo previa acquisizione di unconsenso dell'interessato libero, informato e specifico, con riferimento atrattamenti chiaramente individuati, e da documentare per iscritto;

VISTOl'art. 24, comma 1, lett. b) del Codice che prevede, tra le altre, un'ipotesidi deroga rispetto all'obbligo dell'acquisizione del consenso qualora iltrattamento sia necessario per eseguire obblighi derivanti da un contratto delquale è parte l'interessato;

CONSIDERATOche i trattamenti di dati per finalità commerciali esulano da quelli necessariper adempiere al contratto di fornitura del servizio e che pertanto per ilconseguimento di tali finalità, proprio perché ulteriori rispetto a quelle dicarattere contrattuale, il titolare è tenuto alla preventiva acquisizione diuno specifico consenso;

CONSIDERATOinoltre che, come già rilevato da questa Autorità (v., provv. 22 febbraio 2007; provv. 12 ottobre 2005; provv.  3 novembre 2005;  provv. 15 luglio 2010, provv. 19 maggio 2011), non puòdefinirsi "libero", e risulta indebitamente necessitato, il consensoa ulteriori trattamenti di dati personali che l'interessato debba prestarequale condizione per conseguire una prestazione richiesta, e che gliinteressati devono essere messi in grado di esprimere consapevolmente eliberamente le proprie scelte in ordine al trattamento dei dati che liriguardano, manifestando il proprio consenso per ciascuna distinta finalitàperseguita dal titolare (cfr. provv.  24 febbraio 2005, punto 7);

RILEVATOquindi che la società non ha consentito agli interessati di esprimere unospecifico consenso per la ricezione di messaggi promozionali essendo stato,come detto, obbligatorio prestare il consenso alla ricezione di messaggipromozionali per effettuare il download del software, salvo la possibilità diservirsi dell'opt-out;

CONSIDERATOche l'art. 130, comma 4, del Codice prevede la possibilità che il titolareutilizzi per finalità promozionali, anche senza il consenso dell'interessato,le coordinate di posta elettronica fornite dallo stesso nel contesto dellavendita di un prodotto o di un servizio, purché i servizi oggetto dellapromozione siano analoghi a quelli oggetto della vendita e sempre chel'interessato, adeguatamente informato, non rifiuti tale uso inizialmente o inoccasione di successive comunicazioni;

RILEVATOtuttavia che - all'atto della richiesta del servizio - non era prevista lapossibilità per il contraente di rifiutare inizialmente l'invio dicomunicazioni  promozionali e che il consenso così raccolto non può dirsiliberamente prestato;

CONSIDERATOche la raccolta del consenso per finalità promozionali effettuata dalla societàcon le modalità sopra descritte costituisce un trattamento illecito di dati;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamentoillecito o non corretto dei dati o di disporne il blocco e di adottare, altresì,gli altri provvedimenti previsti dalla disciplina applicabile al trattamentodei dati personali;

RILEVATAla necessità di adottare nei confronti della società un provvedimento didivieto del trattamento di dati personali, ai sensi degli artt. 143, comma 1,lett. c) e 154, comma 1, lett. d), del Codice correlato alle attività di inviodi messaggi promozionali senza l'acquisizione del necessario consenso libero, specificoe documentato degli utenti già registrati al servizio Download add-on;

RISERVATA,con autonomo procedimento, la verifica della sussistenza dei presupposti per lacontestazione della violazione della disposizione di cui all'art. 23, delCodice e la conseguente applicazione della sanzione di cui all'art. 162, comma2-bis, del Codice;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni, e che, ai sensi dell'art. 162, comma 2-ter, del Codice, incaso di inosservanza del medesimo provvedimento, è  altresì applicata insede amministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

RILEVATO,inoltre, che l'art. 11, comma 2, del Codice prevede che i dati personalitrattati in violazione della disciplina rilevante in materia di dati personalinon possono essere utilizzati;

CONSIDERATOche resta impregiudicata la facoltà per gli interessati di far valere i propridiritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15del Codice), con specifico riguardo agli eventuali profili di danno;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla prof.ssa Licia Califano;

TUTTO CIO' PREMESSO IL GARANTE:

a)dichiara illecito il trattamento dei dati personali posto in essere da AdobeSystems Italia S.r.l. con sede legale in Agrate Brianza, Viale Colleoni 5, perfinalità promozionali, effettuato dalla medesima senza aver ottenuto unconsenso libero;

b) vieta ad Adobe Systems Italia S.r.l., ai sensi degli artt. 143, comma 1, lett.c) e 154, comma 1, lett. d), del Codice, il trattamento dei dati personali, giàraccolti, degli utenti registrati al servizio Download add-on per le finalitàdi invio di messaggi promozionali, in assenza di un consenso libero, specificoe documentato degli interessati ex artt. 23 e 130 del Codice, ferma restandol'utilizzabilità degli stessi per la fornitura dei servizi.

Avversoil presente provvedimento può essere proposta opposizione ai sensi degli artt.152 del Codice e 10 del d.lg. n. 150/2011 con ricorso dinanzi all'autoritàgiudiziaria ordinaria, in particolare al tribunale del luogo ove risiede iltitolare del trattamento, da presentarsi entro il termine di trenta giornidalla data della sua comunicazione ovvero di sessanta giorni se il ricorrenterisiede all'estero.

Roma, 21 novembre 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia