|
Garante per la protezione dei dati personali Consenso al trattamento in Internet e utilizzo dei dati per finalit promozionali PROVVEDIMENTO DEL 10 MAGGIO 2006 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale; VISTI i tre provvedimenti (adottati in data 25 giugno 2002, 4 luglio 2002 e 18 luglio 2002), con i quali questa Autorit ha disposto nei confronti di Trisoft s.r.l. societ che gestiva il sito www.nafura.it il blocco del trattamento dei dati personali effettuato mediante l'acquisizione, con "procedure random " (ovvero utilizzando uno speciale software appositamente sviluppato), di numerosi indirizzi di posta elettronica e la loro utilizzazione per inviare messaggi indesiderati a contenuto promozionale; rilevato che il blocco stato disposto al fine di prevenire con immediatezza altre violazioni, nelle more della definizione di un autonomo procedimento; VISTI i successivi ricorsi, notificati alle parti il 27 luglio 2005 e il 29 settembre 2005, aventi per oggetto l'invio non sollecitato di altri messaggi pubblicitari per posta elettronica tramite il sito www.nafura.it che risulta essere stato trasferito, unitamente alla banca dati degli utenti registrati al medesimo sito, nella disponibilit di Age One Agency s.r.l., con sede presso la cedente Trisoft s.r.l.; VISTE le risultanze degli accertamenti ispettivi svolti presso Trisoft s.r.l., (al fine di "verificare il rispetto delle prescrizioni impartite dal Garante con i provvedimenti di blocco"), nonch presso Age One Agency s.r.l. (per "verificare l'origine dei dati personali trattati ed il rispetto della legge in materia di informativa e consenso "); VISTE, in particolare, le dichiarazioni rese, nel corso delle predette attivit ispettive, da Michele Stefano Dell'Acqua, in qualit di amministratore unico di Trisoft s.r.l., dalle quali si evince che tale societ ha disatteso i predetti provvedimenti di blocco del trattamento in quanto l'intero archivio di indirizzi e-mail acquisiti con procedure casuali e, comunque, senza il preventivo consenso degli interessati stato distrutto dalla medesima societ; VISTE, inoltre, le dichiarazioni rese, nel corso delle attivit ispettive svolte presso Age One Agency s.r.l., da Andrea Schietti, in qualit di amministratore di tale societ, il quale ha, tra l'altro, dichiarato che "dall'ottobre del 2003 stata costituita una nuova societ denominata Vulcan s.r.l., nata con lo scopo di gestire gli spazi pubblicitari di Nafura.it." ed ha aggiunto che "In tale contesto, il 13 ottobre 2003, stato stipulato un contratto con la Buongiorno Vitaminic S.p.A. di Torino, nell'ambito del quale si prevede che la Vulcan s.r.l. consegni alla Buongiorno Vitaminic la banca dati degli utenti registrati ai servizi del sito www.nafura.it per l'attivit di invio a mezzo e-mail di campagne promozionali relative ad aziende terze "; VISTO che Buongiorno Vitaminic S.p.A. ha ricevuto da Vulcan s.r.l. un numero considerevole di record relativi agli utenti registrati al sitowww.nafura.it; VISTI gli accertamenti (menzionati nella relazione di sintesi del 21 marzo 2006 del Dipartimento comunicazioni e reti telematiche) successivamente svolti da questa Autorit, nei mesi di febbraio e marzo 2006, attraverso l'accesso diretto al sito Internet www.nafura.it, di cui attualmente titolare la medesima societ Age One Agency s.r.l.; VISTI i servizi offerti sul predetto sito Internet ed, in particolare, il servizio denominato "Nafura Hubs "; CONSIDERATO che, per aderire al predetto servizio, l'utente deve inserire i propri dati personali in un apposito form, senza aver ricevuto un'adeguata e preventiva informativa ai sensi dell'art. 13 del Codice, sulla base della quale manifestare liberamente, se necessario, il proprio consenso; VISTI gli ulteriori servizi offerti da Age One Agency s.r.l. ed, in particolare, i servizi "Nafura mobile", "Nafura internet", "Nafura account" e "Newsletters & offerte speciali "; CONSIDERATO che, per accedere a questi ultimi servizi, l'utente deve accettare "senza alcuna riserva " che sia effettuato l'intero trattamento descritto in un'informativa reperibile sul medesimo sito tramite un collegamento ipertestuale; VISTO in particolare che, nella procedura di iscrizione al servizio "Newsletters & offerte speciali", la casella (c.d. "check-box") a margine della dicitura "accetto l'informativa sulla privacy" risulta pre-compilata con uno specifico simbolo (c.d. flag ); VISTO il contenuto dell'informativa ed, in particolare, la precisazione secondo la quale il sito Nafura utilizza alcuni cookie al fine di "memorizzare e talvolta tenere traccia" dei dati personali degli utenti, anche occasionali (si legge, infatti, che "ad ogni browser che accede a Nafura viene inviato uno o pi cookie "); ci, per diverse finalit fra le quali figura quella della profilazione, volta a rendere pi efficaci le inserzioni pubblicitarie in quanto basate sull'analisi di interessi ed abitudini degli utenti; VISTO che, nel medesimo testo dell'informativa, previsto che "anche le reti pubblicitarie che forniscono annunci a Nafura utilizzano i propri cookie" e che l'utente autorizza Age One Agency s.r.l. a "cedere, vendere o comunicare a terze parti i dati personali da esso stesso forniti "; CONSIDERATO che l'utente, in base a tale informativa, nel momento in cui fornisce i dati personali che lo riguardano, "autorizza automaticamente la stessa Age One Agency a trattare i dati medesimi a fini commerciali e per altri fini riportati nelle condizioni generali di utilizzo" (reperibili presso un ulteriore documento denominato "disclaimer "); VISTO il contenuto di tale "disclaimer" ed, in particolare, la previsione secondo la quale il cliente autorizza Age One Agency s.r.l. "all'archiviazione, all'elaborazione e alla comunicazione, anche a consociate o partner commerciali o clienti di Nafura, di dati relativi all'utente, con le seguenti finalit: servizio clienti (), factoring, marketing, commerciali, commerciali a carattere politico, pubblicit e promozione online ed offline per posta ordinaria, analisi statistiche, indagini sulla soddisfazione della clientela, ."; CONSIDERATO che, per quanto riguarda l'esercizio dei diritti dell'interessato (art. 7 del Codice), la menzionata informativa prescrive agli utenti di utilizzare una specifica formalit (invio della richiesta di esercizio dei medesimi diritti tramite "raccomandata con ricevuta di ritorno "); CONSIDERATO che la predetta informativa inidonea a fornire all'interessato tutte le indicazioni necessarie ai sensi dell'art. 13 del Codice. Ci, in rapporto alla delicatezza e complessit delle modalit di trattamento e dei flussi di dati descritti, nonch in relazione al linguaggio utilizzato che si palesa equivoco e tale da indurre in errore un utente medio ed altres idoneo a determinare, in ciascun interessato, una sottovalutazione delle conseguenze derivanti dal conferimento dei dati personali, in violazione del principio dell'autodeterminazione informativa; rilevato che l'informativa non contiene, inoltre, indicazioni che definiscano in maniera adeguata lo specifico ambito di comunicazione a terzi e prevede, infine, anomali "automatismi" nel consenso al trattamento (si legge, infatti: "In tutti i casi, nel momento in cui comunichi ad Age One Agency srl uno o pi dati personali riguardanti la tua stessa persona, autorizzi automaticamente la stessa Age One Agency srl a trattare i tuoi dati personali a fini commerciali e per gli altri fini riportati nelle condizioni generali di utilizzo (leggi la pagina disclaimer))"; rilevato, da ultimo, che la medesima informativa rinvia a tale disclaimer non direttamente consultabile tramite un link, per fornire all'interessato una parte delle informazioni previste dall'art. 13 del Codice e necessarie per definire le finalit del trattamento e i soggetti a cui i dati sono comunicati; CONSIDERATO che, in riferimento ai casi in cui tramite il predetto sito sollecitato il consenso degli interessati, le modalit della sua acquisizione non sono conformi a quanto disposto dall'art. 23 del Codice, non essendo riconosciuta agli utenti la possibilit di esprimere un consenso libero e (oltre che riferito ad un trattamento chiaramente individuato) eventualmente differenziato rispetto alle varie finalit del trattamento, nonch manifestato con una volont espressa con formula "in positivo", anzich mediante espressioni "in negativo" che lasciano all'interessato una mera facolt di eventuale diniego; CONSIDERATO che l'accertato uso di cookie viola, come risultante dalla stessa informativa, il divieto di utilizzo di una rete di comunicazione elettronica "per accedere ad informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente " (art. 122 del Codice); CONSIDERATO che l'art. 8 del Codice stabilisce che i diritti di cui all'art. 7 cit. sono esercitati dall'interessato con una richiesta rivolta al titolare senza formalit, anzich con necessaria richiesta per raccomandata, come nel caso di specie; RISERVATA, con autonomo provvedimento, la contestazione in separata sede della violazione amministrativa concernente l'informativa (che assente, per alcuni profili del complessivo trattamento, e del tutto inidonea per altri: artt. 13 e 161 del Codice); CONSIDERATO, altres, che l'osservanza dei presupposti prescritti per legge ai fini del trattamento dei dati per scopi di comunicazione commerciale o pubblicitaria necessaria anche nei confronti di chi acquisisce da terzi banche dati contenenti indirizzi di posta elettronica, nonch da parte di chi invia e-mail per conto di terzi committenti (cfr. Provv. del Garante 29 maggio 2003, relativo allo spamming); RITENUTO che, sulla base delle predette considerazioni, risultano dagli atti violate diverse disposizioni della disciplina in materia di protezione dei dati personali e, in modo specifico, gli artt. 8, 11, 13, 23 e 122 del Codice; RILEVATO che, ai sensi dell'art. 11, comma 2, del Codice, i dati personali trattati in violazione della disciplina rilevante in materia dei dati personali, come nel caso di specie, non possono essere utilizzati; CONSIDERATO che il Garante, ai sensi dell'art. 154, comma 1, lett. d), del Codice, ha il compito di vietare il trattamento dei dati che risulti illecito o non corretto; RILEVATO che tale divieto va disposto anche nei riguardi di societ che, dopo aver acquisito dati trattati illecitamente, effettuano ulteriori trattamenti che non risultano dagli atti effettuati in presenza dei necessari presupposti; rilevato che tali societ risultano, allo stato, individuate, oltre che in Buongiorno Vitaminic S.p.A., anche nella Composite Digital Media (che negli atti indicata quale divisione del gruppo AdLink Italia), come emerge dal documento "disclaimer" (ove si legge che: "il cliente autorizza il trattamento dei dati per finalit inerenti l'esecuzione del Contratto e la presentazione dei servizi ivi contemplati; g) inviare comunicazioni commerciali anche di terze consociate selezionate da Vulcan srl tra cui Composite Digital Media (divisione del gruppo AdLink Italia); Buongiorno Vitaminic Spa; h) l'utente potr ricevere aggiornamenti, novit, consigli per gli acquisti inviati da Composite Digital Media, Buongiorno Vitaminic S.p.A., per conto proprio o di propri clienti "); CONSIDERATO che, ai sensi dell'art. 170 del Codice, a prescindere dalle misure e sanzioni applicabili in relazione al trattamento dei dati, chiunque, essendovi tenuto, non rispetta i provvedimenti adottati dal Garante ai sensi dell'art. 143, comma 1, lett. c) del predetto Codice, punito con la reclusione da tre mesi a due anni; RILEVATO che per i fatti in esame stata gi preliminarmente informata la competente autorit giudiziaria, anche in riferimento all'ipotesi di reato di trattamento illecito di dati (art. 167 del Codice), autorit nei confronti della quale va ora disposta la trasmissione di copia del presente provvedimento e degli atti di accertamento pi recenti; VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il dott. Giuseppe Fortunato; TUTTO CI PREMESSO, IL GARANTE a) ai sensi degli artt. 143, comma 1, lett. c) e art. 154, comma 1, lett. d), del Codice, vieta a Age One Agency s.r.l., avente sede in Milano, Via Voghera 9/A, attuale titolare dei trattamenti relativi al sito Internet www.nafura.it, con effetto immediato a decorrere dalla data di comunicazione del presente provvedimento e nei termini di cui in motivazione, ogni ulteriore trattamento illecito dei dati personali acquisiti nell'ambito della procedura di registrazione ai servizi "Nafura Hubs", "Nafura mobile", "Nafura internet", "Nafura account", "Newsletters & offerte speciali "; b) ai sensi degli artt. 143, comma 1, lett. c) e art. 154, comma 1, lett. d) del Codice, vieta a Buongiorno Vitaminic S.p.A., con sede legale in Torino, Via Cervinio 52 e Composite Digital Media (divisione del gruppo AdLink Italia, con sede in Milano, Piazza Luigi Vittorio Bertarelli 1), con effetto immediato a decorrere dalla data di comunicazione del presente provvedimento e nei termini di cui in motivazione, ogni ulteriore trattamento illecito dei dati relativi agli utenti registrati ai predetti servizi, inizialmente trattati da Age One Agency s.r.l. e ceduti da Vulcan s.r.l.. Roma, 10 maggio 2006 Il presidente Il relatore Il segretario generale |