La tutela della privacy nelle attività di marketing e promozionali

Stefano Bendandi

Sommario

Licenza....................................................................................................................1 Note sull'autore......................................................................................................1 Avvertenze...............................................................................................................1

Premessa..............................................................................................3 Capitolo 1..............................................................................................5
La raccolta ed il trattamento dei dati....................................................................5 L'informativa............................................................................................................6 Il consenso..............................................................................................................6 Le ipotesi di trattamento senza consenso..............................................................7 I diritti degli interessati e le modalità di esercizio....................................................9

Capitolo 2............................................................................................11
Le comunicazioni elettroniche indesiderate.....................................................11 La necessità del consenso specifico....................................................................11 Le comunicazioni mediante posta elettronica.......................................................12 Le comunicazioni mediante SMS ed MMS...........................................................14 Le comunicazioni mediante fax.............................................................................14 Il marketing telefonico o teleselling.......................................................................15
La deroga nel marketing telefonico prevista dalla legge 14/2009..................................15

La comunicazione di servizi e prodotti analoghi...................................................17 Il marketing di prossimità ed il bluetooth advertising.....................................18 L'acquisto di banche dati e le comunicazioni per conto di terzi....................19

Capitolo 3............................................................................................21
Il marketing comportamentale............................................................................21 L'analisi dei dati raccolti online.............................................................................21 Le carte fedeltà.....................................................................................................22

Capitolo 4............................................................................................25
Il marketing geografico........................................................................................25 I servizi basati sulla localizzazione....................................................................25

Appendice normativa.........................................................................29
Decreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy)...............................29 Art. 3 – Principio di necessità nel trattamento dei dati................................................29 Art. 4 – Definizioni......................................................................................................29 Art. 7 – Diritto di accesso ai dati personali ed altri diritti..............................................33

Sommario
Art. 8 – Esercizio dei diritti..........................................................................................34 Art. 9 – Modalità di esercizio.......................................................................................35 Art. 10 – Riscontro all'interessato...............................................................................35 Art. 11 – Modalità del trattamento e requisiti dei dati..................................................37 Art. 13 – Informativa...................................................................................................37 Art. 23 – Consenso....................................................................................................38 Art. 24 – Casi nei quali può essere effettuato il trattamento senza consenso............38 Art. 37 – Notificazione del trattamento........................................................................40 Art. 126 – Dati relativi all'ubicazione...........................................................................41 Art. 129 – Elenchi di abbonati.....................................................................................42 Art. 130 – Comunicazioni indesiderate ......................................................................42 Art. 161 – Omessa o inidonea informativa all'interessato...........................................43 Decreto legislativo 6 settembre 2005, n. 206 (Codice del consumo)............................44 Art. 58 – Limiti all'impiego di talune tecniche di comunicazione a distanza.................44 Autorità garante della privacy........................................................................................45 Provvedimento generale del 29 maggio 2003, Spamming: regole per un corretto invio delle e-mail pubblicitarie.............................................................................................45 Provvedimento 10 giugno 2003, Sms promozionali o di vendita diretta: le regole per il corretto uso................................................................................................................54 Provvedimento 24 febbraio 2005, Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione..................................................60 Provvedimento 12 ottobre 2005, Informativa e consenso – Biglietti online e marketing: indicazione del garante..............................................................................................68 Provvedimento 23 novembre 2006, Fax promozionali senza il preventivo consenso dell'interessato...........................................................................................................73 Provvedimento 7 dicembre 2006, Raccolta di dati personali in strutture neonatali a fini di marketing................................................................................................................76 Provvedimento 31 gennaio 2008, Divieto di invio di fax promozionali senza consenso. 92 Provvedimento del 12 marzo 2009 (G.U. 20 marzo 2009), Prescrizioni ai titolari di banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l. 207/2008.........................................95

La tutela della privacy nelle attività di marketing e promozionali

Licenza
Quest'opera deve ritenersi soggetta ai termini della licenza Creative Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia. Una sintesi delle condizioni e dei diritti attribuiti da tale licenza è disponi­ bile all'indirizzo http://creativecommons.org/licenses/by-nc-nd/2.5/it/. La copia integrale della licenza è invece disponibile all'indirizzo http://creativecommons.org/licenses/by-nc-nd/2.5/it/legalcode.

Note sull'autore
Stefano Bendandi, iscritto all'ordine degli avvocati del Foro di Pescara, è titolare di uno studio (http://www.stefanobendandi.com) che opera prevalen­ temente nel campo del diritto applicato alle nuove tecnologie, con particolare riferimento alle problematiche concernenti la tutela della privacy, la sicurezza informatica, le telecomunicazioni, il commercio elettronico, il marketing, il dirit­ to d'autore e la proprietà intellettuale. Docente ed autore di pubblicazioni, è blogger su IT & Dintorni dove cura in prima persona approfondimenti e riflessioni in materia di nuove tecnologie, diritto e cultura digitale. E' membro di AIPSI (Ass. Italiana dei Professionisti di Sicurezza Informa­ tica, Issa Italian Chapter) e delegato ANDIP (Ass. Nazionale per la Difesa della Privacy).

Avvertenze
I contenuti di questo e-book hanno un valore puramente informativo e non possono essere equiparati ad una consulenza professionale né sostituirsi a quest'ultima, anche in considerazione della natura generale, e non specifi­ ca, delle problematiche assunte come riferimento ai fini della trattazione. Pur avendo adottato la massima cautela e diligenza possibili nella raccol­ ta e preparazione del materiale, l'autore non assume alcuna responsabilità, diretta od indiretta, per gli eventuali errori od omissioni o per l'utilizzo delle in­ formazioni presenti in questo libro.

Pag. 1

La tutela della privacy nelle attività di marketing e promozionali

Premessa
Il marketing rappresenta uno strumento fondamentale per lo sviluppo del business di qualsiasi entità. Secondo la definizione fornita da Philip Kotler, uno dei massimi esperti della materia, il marketing è un processo sociale e manageriale mediante il quale una persona od un gruppo ottiene ciò che costituisce oggetto dei propri bisogni e desideri, creando, offrendo e scambiando prodotti e valore con altri. Il marketing, che può essere diretto ai consumatori finali (cd. marketing B2C) oppure alle imprese (cd. marketing B2B), si basa su una strategia a me­ dio-lungo termine finalizzata al raggiungimento degli obiettivi definiti in un pia­ no. Di regola il complesso delle attività che ruota intorno a questa strategia richiede, per la loro stessa natura, un trattamento di dati personali da cui de­ rivano, conseguentemente, delle problematiche di natura giuridica relative al­ l'applicazione della disciplina di cui al Decreto Legislativo 30 giugno 2003, n. 196 (“Codice della privacy”). Le questioni che si prospettano sono diverse ed interessano, non soltan­ to adempimenti di natura documentale o tecnico-operativa, ma anche alcuni vincoli di utilizzo delle tecnologie informatiche ed elettroniche le quali riescono ad attrarre, sempre più, l'attenzione dei potenziali utilizzatori, grazie ad una serie di innegabili vantaggi:
• • • •

facilità d'uso immediatezza possibilità di raggiungere un target vastissimo di soggetti riduzione dei costi operativi

D'altra parte però gli stessi strumenti tecnologici si rivelano potenzialmen­ te lesivi della sfera di riservatezza degli individui, ragion per cui sia il legislato­ re comunitario1 che quello italiano2 hanno fissato dei presupposti che ne ren­ dono lecito l'uso, soprattutto se finalizzato ad azioni di comunicazione promo­ zionale o di vendita diretta di beni o servizi. Da tali premesse scaturisce pertanto lo scopo principale di questo ebook che è quello di analizzare i complessi rapporti esistenti tra la normativa posta a tutela dei dati personali e l'esecuzione di attività di marketing. Non si tratta ovviamente, né vuole esserlo, di una trattazione esaustiva sull'argomento ma di un semplice vademecum preparato con l'intento di esse­ re utile a tutti coloro che, per professione od interesse, si occupano della ma­
1 2 Direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche. Vedi art. 130 del d.lgs. 196/03, in appendice normativa, con il quale è stata data attuazione alle prescrizioni della direttiva 2002/58/CE citata

Pag. 3

La tutela della privacy nelle attività di marketing e promozionali

teria. Nelle intenzioni dell'autore questo ebook assume il significato di opera in continua evoluzione per la quale sono sempre ben accetti, consigli, feedback e critiche che possono essere indirizzati al seguente indirizzo di posta elettro­ nica sbt449-ml@yahoo.it

Pag. 4

La tutela della privacy nelle attività di marketing e promozionali

Capitolo 1 La raccolta ed il trattamento dei dati
La pianificazione e la realizzazione di molte strategie di marketing, specie se dirette, richiede la creazione di flussi informativi aventi per oggetto nuclei consistenti di dati strutturalmente organizzati (cd. base dati). L'origine di questi dati può essere molto varia: può trattarsi di informazio­ ni fornite spontaneamente dai soggetti interpellati, raccolte attraverso una rete di vendita o Internet, estratte da registri od elenchi pubblici, acquistate presso terzi e così via. Nella maggior parte dei casi l'oggetto della conoscenza è costituito da dati cd. personali 3 concernenti attributi di natura sociale, anagrafica o di reca­ pito oppure preferenze, abitudini di consumo, ecc.... Il testo unico sulla privacy attualmente vigente (D.Lgs. 196/03) subordina il trattamento4 dei dati delle persone fisiche, delle persone giuridiche, degli enti e delle associazioni, alla necessità di conoscerli 5 ed al rispetto di un im­ pianto normativo la cui finalità è quella di garantire che gli stessi dati siano:
• •

trattati in modo lecito e secondo criteri di correttezza

raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni in termini compatibili con tali scopi;
• •

esatti ed aggiornati;

pertinenti, completi e non eccedenti rispetto alle finalità del trattamento;
• conservati in una forma che consenta l'identificazione dell'interes­ sato per un periodo di tempo non superiore a quello necessario alla realizzazione degli scopi per i quali sono trattati

L'inosservanza di uno o più di questi presupposti spesso comporta, quale conseguenza più immediata, l'impossibilità di utilizzare i dati, ferma restando l'eventuale responsabilità residua sia sotto il profilo civile (risarcimento dei danni) che penale (illeciti commessi). Tenendo conto delle finalità di tutela della riservatezza che il legislatore italiano ha fatto proprie, sulla scorta di quello comunitario, è di fondamentale importanza che i soggetti interessati siano adeguatamente informati circa il trattamento dei propri dati (art. 13), prestino il loro libero consenso in relazio­
3 4 5 La nozione di dato personale è contenuta nell'art. 4, comma 1, lett. b) d.lgs. 196/03, in appendice normativa La nozione di “trattamento” fornita dall'art. 4, comma 1, lett. a) d.lgs. 196/03 è molto ampia e tale da abbracciare diverse modalità operative di gestione dei dati, attuate con o senza l'ausilio di strumenti elettronici. E' il cd. principio di necessità sancito dall'art. 3 d.lgs. 196/03, in appendice normativa

Pag. 5

La tutela della privacy nelle attività di marketing e promozionali

ne alle finalità perseguite (art. 23) e siano messi in condizioni di poter eserci­ tare, in qualsiasi momento, i propri diritti (art. 7).

L'informativa
E' un adempimento che si ricollega con il diritto dell'interessato di cono­ scere l'identità del titolare e degli altri soggetti che possono venire a cono­ scenza dei suoi dati e di poter valutare le modalità e le finalità del trattamento e le conseguenze di un suo eventuale consenso o rifiuto. L'informativa può essere resa, in forma orale o scritta, al momento del­ l'acquisizione dei dati oppure della loro registrazione o comunicazione6, ma costituisce, comunque, un obbligo preventivo che anticipa il trattamento, a prescindere dal fatto che quest'ultimo richieda o meno il consenso dell'inte­ ressato o che i dati siano acquisiti su web7. Inoltre, considerata l'importanza di tale comunicazione, l'art. 138 del d.lgs. 196/03 interviene anche per specificarne i contenuti, in relazione ai quali si pone il problema delle cd. clausole di stile. Queste ultime consistono infatti in espressioni del tipo "I dati da lei forniti saranno trattati secondo quanto previsto dalla normativa..."e, in più occasioni, sono state ritenute illecite dal garante, soprattutto se prive delle informazioni basilari richieste dall'art. 13. Anzi, a tale proposito, non va dimenticato che la mancanza della informa­ tiva o l'inadeguatezza del suo contenuto sono sanzionate nei termini dell'illeci­ to amministrativo di “Omessa od inidonea informativa”, previsto e punito dal­ l'art. 161 con pena pecuniaria9.

Il consenso
Il consenso è il presupposto che legittima il trattamento dei dati personali. Esso assume la natura di autorizzazione e si presenta come manifesta­ zione di un diritto del soggetto di determinare il destino dei dati concernenti la propria identità personale (cd. autodeterminazione informativa). Il consenso può avere per oggetto un intero trattamento oppure una o più operazioni ad esso relative ma, per essere valido, deve rispettare i requisiti dettati dall'art. 23 del d.lgs. 196/03 10 concernenti:
6 A seconda che la raccolta avvenga o meno presso l'interessato (es. di raccolta indiretta è quella dell'acquisto presso terzi oppure della estrazione da elenchi o registri pubblici). 7 Cfr. per un caso reale Ordinanza/Ingiunzione del garante del 18 settembre 2008, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1559382 8 In appendice normativa 9 Recentemente, con la legge 27 febbraio 2009, n. 14 di conversione del D.L. 207/2008 l'entità della sanzione è stata inasprita, passando da seimila a trentaseimila euro 10 In appendice normativa

Pag. 6

La tutela della privacy nelle attività di marketing e promozionali

1. la libertà e la specificità 2. la specificità della forma 3. la chiarezza della formula e la sua stretta attinenza con l'informati­ va La libertà implica che la manifestazione di consenso sia esente da qua­ lunque pressione di natura fisica o psicologica. Nell'ambito dei condizionamenti psicologici inammissibili rientrano, peral­ tro, tutte le ipotesi in cui il consenso risulta condizionato dall'accettazione di clausole che inducono uno squilibrio tra le parti o abbia il solo scopo di con­ sentire l'accesso a particolari condizioni di natura contrattuale. Analogamente si ravvisa una violazione del principio della libertà quando i dati raccolti per una determinata finalità, in relazione alla quale è stato mani­ festato un consenso, vengono utilizzati, in realtà, anche per scopi diversi, pure se esplicitati. Nei casi in cui il trattamento persegue finalità differenti appare, dunque, opportuno acquisire e separare le manifestazioni di volontà in relazione a cia­ scuno scopo. La specificità riguarda, invece, l'oggetto del consenso che deve essere ri­ ferito ad un determinato trattamento identificato nei suoi elementi costitutivi (categorie di dati, modalità, titolare/responsabile e finalità). Tale requisito rende evidente l'importanza di adottare tecniche espressi­ ve chiare, prive di formulazioni superflue, ridondanti o generiche che aprono la strada a manifestazioni di volontà generalizzate, in quanto tali, invalide. Dal punto di vista formale il consenso non richiede, con la sola eccezione dei dati sensibili, una manifestazione per iscritto, fermo restando, tuttavia, il ri­ corso alla documentazione scritta ai fini della sua prova. Non dimentichiamo, infine, la necessità che il consenso sia “informato”, cioè preceduto da una informativa, chiara e corretta, che descriva in modo esauriente tutti gli elementi di cui all'art. 13 citato. Peraltro mentre l'informativa, per la funzione che assolve, deve essere analitica, la manifestazione di consenso può anche essere elementare, pur­ ché organizzata sulla base di opzioni di tipo positivo attraverso le quali l'inte­ ressato sia messo in condizione di esprimere la propria volontà.

Le ipotesi di trattamento senza consenso
L'art. 24 11 del d.lgs. 196/03 contiene l'intera casistica dei trattamenti con­ siderati leciti pur in assenza di un consenso espresso da parte dell'interessa­ to.
11 In appendice normativa

Pag. 7

La tutela della privacy nelle attività di marketing e promozionali

Si tratta di una serie di deroghe giustificabili sia in relazione alla prove­ nienza delle informazioni che alle finalità od al contesto del trattamento stes­ so. Tra le fattispecie previste, di particolare interesse, ai fini di questa tratta­ zione, sono quelle di cui alle lettere b) e c) concernenti: 1. il trattamento necessario per adempiere agli obblighi derivanti da un contratto 2. il trattamento di dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque Nel primo caso la natura “indispensabile” del trattamento deve essere ri­ collegata alle sole informazioni che siano realmente necessarie per eseguire gli obblighi contrattuali o per soddisfare, prima della conclusione, le specifiche richieste dell'interessato. Questo di fatto esclude la possibilità di trattare i dati personali, raccolti per dare esecuzione ad un rapporto contrattuale, anche per ulteriori finalità, come, ad esempio, quelle di marketing o di promozione commerciale, salva la richiesta di uno specifico consenso. Ne deriva, inoltre, che lo stesso trattamento deve considerarsi sottoposto ad un ben preciso vincolo temporale, per cui i dati non possono essere con­ servati per un periodo di tempo eccedente l'adempimento, salvo ulteriori ob­ blighi imposti dalla legge. Alcune considerazioni anche in merito alla seconda ipotesi: qui il requisi­ to della conoscibilità può ritenersi soddisfatto soltanto in presenza di un vero e proprio regime giuridico di conoscibilità e non da una semplice conoscibilità, anche temporanea, dei dati. Questo è il motivo per cui gli indirizzi di posta elettronica che compaiono all'interno delle pagine dei siti web o nei messaggi di un newsgroup non pos­ sono, di regola, ritenersi conoscibili da chiunque, essendo la loro natura pub­ blica strettamente connessa allo scopo cui è preordinata e non potendo estendersi al di là di questo. D'altra parte l'ipotesi di trattamento libero dei dati estratti da fonti pubbli­ che è quella che più si presta a fraintendimenti, soprattutto con riferimento alle comunicazioni elettroniche indesiderate. Nella pratica commerciale, infatti, si assiste molto spesso al tentativo di giustificare le comunicazioni di natura promozionale tramite email, fax, sms ed mms, in assenza di un preventivo consenso dell'interessato, proprio con la circostanza del reperimento dei relativi dati personali da albi od elenchi pub­ blici e, quindi, con la fattispecie di cui all'art. 24, lett. c) citato. In realtà questa interpretazione non può essere accolta perché dimentica che i primi due commi dell'art. 130 del d.lgs. 196/03 richiedono, ai fini della li­

Pag. 8

La tutela della privacy nelle attività di marketing e promozionali

ceità di queste forme di comunicazione, l'esistenza di un consenso specifico, non ammettendo altre eccezioni, se non quelle previste nei successivi commi 3 e 4 12.

I diritti degli interessati e le modalità di esercizio
In materia di diritti degli interessati il codice della privacy adotta, con gli articoli da 7 a 10, un approccio orientato ad un bilanciamento tra contrapposti interessi: da una parte quelli del titolare e, dall'altra, quelli dei soggetti cui si riferiscono i dati. Partendo proprio dalla disposizione dell'art. 7 possono essere classificati nel seguente modo:
13

, i diritti degli interessati

1. il diritto di venire a conoscenza dell'esistenza di dati 2. il diritto di esercitare un controllo effettivo sull'insieme e sulla quali­ tà dei propri dati personali 3. il diritto di opporsi, in tutto od in parte, al trattamento dei propri dati Gli elementi caratterizzanti del primo sono, da un lato, il potere di eserci­ zio preventivo, indipendentemente da situazioni di effettivo pregiudizio, e, dal­ l'altro, la tipologia delle informazioni che devono essere rese, specificate nel comma 2 della disposizione citata, insieme con la forma della loro comunica­ zione che deve essere tale da soddisfare, comunque, il requisito della com­ prensibilità. Da questi presupposti scaturisce l'esigenza che l'interessato venga a co­ noscenza delle informazioni che lo riguardano nella loro interezza, considera­ to che tale conoscenza si pone in un ottica necessariamente funzionale ri­ spetto all'esercizio dei diritti di cui al comma 3. Questi ultimi ricomprendono la facoltà di ottenere l'aggiornamento, la cor­ rezione o l'integrazione dei dati, oppure la loro cancellazione, trasformazione in forma anonima od il blocco del trattamento attuato in violazione delle attuali disposizioni di legge, comprese quelle attinenti alla durata della conservazio­ ne. Ultimo, ma non meno importante, è il diritto di opporsi al trattamento dei propri dati che si prospetta, però, differente a seconda delle finalità persegui­ te. Infatti anche se nella maggior parte dei casi l'esercizio di questo diritto non è subordinato a situazioni di illiceità esso richiede, tuttavia, la sussistenza di motivi legittimi da identificarsi principalmente con quelli relativi alla tutela della dignità umana (art. 7, comma 4, lett. a).
12 Per una disamina più approfondita della tematica si consiglia di leggere il Capitolo 2 13 In appendice normativa

Pag. 9

La tutela della privacy nelle attività di marketing e promozionali

Al contrario, nell'ipotesi specifica di trattamento per scopi commerciali il requisito della legittimità dei motivi viene meno in quanto connaturato all'inte­ resse ad opporsi al perseguimento di tali finalità attraverso i propri dati (art. 7, comma 4, lett. b). In quest'ultimo caso il legislatore si è preoccupato di spostare il baricen­ tro del bilanciamento di interessi in favore dei soggetti cui si riferiscono i dati, predisponendo una forma particolare di tutela di quello che viene, ormai, defi­ nito come il diritto "ad essere lasciati in pace”, alla luce delle sempre più inva­ sive tecniche di promozione e di vendita diretta, favorite anche dal progresso tecnologico che interessa, soprattutto, il settore delle comunicazioni elettroni­ che. Nelle intenzioni del legislatore le modalità di esercizio dei diritti devono essere ispirate ad ovvie esigenze di celerità. Le singole richieste possono essere pertanto rivolte, senza alcuna forma­ lità, al titolare od al responsabile, anche mediante un incaricato, e ad esse viene fornito un riscontro immediato ed idoneo (art. 8, comma 1). Ciò vale, in particolar modo, per il diritto di accesso la cui finalità è quella di ottenere la conferma dell'esistenza dei dati personali: in questo caso speci­ fico l'interessato può, infatti, proporre la sua richiesta in forma orale (art. 9, comma 1). Il quadro si completa infine con le prescrizioni dell'art. 10 che individuano alcuni strumenti e misure per garantire l'esercizio effettivo dei diritti attraverso una maggiore comprensibilità dei dati di riscontro forniti.

Pag. 10

La tutela della privacy nelle attività di marketing e promozionali

Capitolo 2 Le comunicazioni elettroniche indesiderate
Con tale termine si intendono generalmente le comunicazioni di natura promozionale-commerciale, generate e diffuse attraverso gli strumenti elettro­ nici (email, fax, cellulari, ecc...), ed inoltrate ad uno o più destinatari, senza che questi le abbiano richieste esplicitamente o abbiano fornito il proprio con­ senso (cd. spamming). Data la natura potenzialmente molto invasiva degli strumenti utilizzati, il legislatore comunitario si è occupato della questione con la direttiva 2002/58, i cui dettami sono successivamente confluiti nel titolo X del codice della priva­ cy ed, in particolare, nell'art. 130 intitolato proprio alle comunicazioni indesi­ derate.

La necessità del consenso specifico
I primi due commi dell'articolo 130 14 subordinano al preventivo consenso dell'interessato la possibilità di utilizzare i sistemi automatici di chiamata, sen­ za l'intervento dell'operatore, e le comunicazioni elettroniche tramite fax, po­ sta elettronica, SMS ed MMS, al fine dell'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Al di fuori delle ipotesi menzionate, invece, l'articolo 13 della direttiva 2002/58 ha consentito alle normative di recepimento, emanate dagli stati membri, di individuare gli strumenti più opportuni con i quali impedire tutte le altre forme di comunicazione non desiderate (ad esempio le chiamate vocali non automatizzate di telefonia fissa o mobile), scegliendo tra un sistema di "opt-in" oppure di "opt-out" 15. Con riferimento a tale opzione il legislatore italiano si è espresso con il comma 3 dell'articolo 130, adottando un sistema di opt-in che richiede, in al­ ternativa, l'esistenza di due condizioni: 1. un valido consenso da parte del soggetto interessato 2. una delle fattispecie che, ai sensi dell'articolo 24 del codice della privacy, permettono un trattamento dei dati personali anche senza consenso La scelta di questo sistema è stata successivamente avvalorata anche nel diverso ambito della tutela dei consumatori il cui testo di riferimento è il cd. Codice del Consumo.
14 In appendice normativa 15 Nel primo sistema la manifestazione di volontà ha una connotazione positiva (consenso) ed è preventiva, mentre nel secondo essa è successiva ed assume una connotazione negativa (diniego).

Pag. 11

La tutela della privacy nelle attività di marketing e promozionali

In effetti l'art. 58, comma 1, del d.lgs. 206/05 16 limita l'utilizzo di alcune tecniche di comunicazione a distanza nei confronti dei consumatori stabilendo che: "L'impiego da parte di un professionista del telefono, della posta elettro­ nica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore". Contemporaneamente, però, il successivo comma 2 riconosce la validità di un sistema di opt-out, prevedendo che il professionista possa utilizzare tec­ niche di comunicazione differenti dal telefono, dalla posta elettronica, dal fax o dai sistemi automatizzati di chiamata, a meno che il consumatore non si di­ chiari esplicitamente contrario. Questa divergenza potrebbe passare inosservata se non fosse per il fatto che alla disposizione citata viene riconosciuta una efficacia in deroga alle nor­ me del codice della privacy 17. Ovviamente la deroga di cui si parla deve intendersi con riferimento al principio del consenso, e non all'intero impianto normativo in materia di priva­ cy, ma ciò appare sufficiente a creare una notevole confusione che, di certo, non agevola la comprensione di una tematica già di per sé complessa. Tornando alla disposizione dell'art. 130, il comma 5 vieta qualsiasi forma di comunicazione effettuata camuffando o celando l'identità del mittente o senza fornire un idoneo recapito. Lo scopo è quello di evitare il verificarsi di situazioni che possano com­ portare una elusione delle nome di legge concernenti l'esercizio dei diritti da parte degli interessati. In materia di comunicazioni elettroniche indesiderate si è andata forman­ do con il tempo una discreta giurisprudenza dell'autorità garante della privacy, chiamata spesso ad occuparsi del fenomeno. I prossimi paragrafi sono destinati proprio ad illustrare gli orientamenti or­ mai consolidati in materia.

Le comunicazioni mediante posta elettronica
Sulla base dei principi esaminati, lo svolgimento di attività promozionali o di commercializzazione diretta, attraverso il servizio di posta elettronica, deve ri­ tenersi subordinato al consenso dell'interessato. Il Garante della privacy ha ribadito che gli indirizzi di posta elettronica contengono dati personali, da trattare nel rispetto della normativa vigente, e che il consenso dell'interessato ha il valore di una autorizzazione, per cui l'e­ ventuale silenzio va inteso come divieto e non come assenso tacito all'invio di
16 In appendice normativa 17 In tal senso si esprime l'art. 19 bis del decreto legge 20 dicembre 2005 n. 273, convertito in legge 23 febbario 2006 n. 51

Pag. 12

La tutela della privacy nelle attività di marketing e promozionali

messaggi 18. Questa premessa è valida, inoltre, a prescindere dalla facilità con la qua­ le sia possibile reperire un indirizzo di posta o dal fatto che esso sia stato pubblicato sulla rete Internet e, dunque, si applica in tutti i casi seguenti: indirizzi generati ed utilizzati automaticamente, mediante software, senza l'intervento di un operatore;
• •

indirizzi degli utenti che prendono parte ad un gruppo di discussio­ indirizzi compresi negli elenchi degli abbonati a particolari servizi; indirizzi pubblicati in siti web da soggetti pubblici o privati; indirizzi presenti nelle registrazioni dei nomi di dominio Internet;

ne;
• • • •

qualsiasi altro indirizzo reperito, in qualunque modo, sulla rete In­ ternet; Il consenso può essere prestato con ogni modalità idonea a renderlo una libera manifestazione di volontà dell'interessato, collegata ad una specifica fi­ nalità ed espressa sulla base di una informativa idonea contenente le indica­ zioni richieste dall'art. 13. Secondo una interpretazione del gruppo di lavoro sulla tutela dei dati per­ sonali, di cui all'articolo 29 della direttiva 95/46/CE, il riferimento all'esistenza di una specifica finalità comporta che l'eventuale autorizzazione sia accompa­ gnata da una informazione sulla tipologia di prodotti o servizi per i quali si ri­ tiene ammissibile l'invio di messaggi promozionali 19. In presenza di tali requisiti il consenso può anche essere raccolto a voce, purché sia inequivocabile, e, comunque, venga successivamente documen­ tato in modo scritto. L'autorità garante ritiene illecita la prassi diffusa della richiesta di consen­ so attraverso una prima email, avente comunque un contenuto promozionale, od il riconoscimento al soggetto della sola facoltà di opt-out cioè, in pratica, l'onere di attivarsi per non ricevere più messaggi dello stesso tipo. Sembra, invece, accolta con favore la prestazione del consenso attraver­ so una procedura di registrazione ad un sito web, purché seguita da un invito a confermare la registrazione. In tale ultimo caso occorre che le applicazioni ed i sistemi, sui quali si basa il funzionamento del sito, siano progettati e configurati per permettere l'esercizio del diritto all'autodeterminazione informativa: questo si traduce nel­ la necessità di predisporre opzioni di scelta di tipo positivo - ad esempio ca­
18 Provvedimento generale del Garante del 29 maggio 2003. Spamming, regole per un corretto invio delle email pubblicitarie, in appendice normativa 19 Parere 5/2004 del gruppo di lavoro per la tutela dei dati personali relativo alle comunicazioni indesiderate ai fini di commercializzazione diretta

Pag. 13

La tutela della privacy nelle attività di marketing e promozionali

selle da selezionare piuttosto che già preselezionate - poiché, soltanto in que­ sto modo, l'utente viene effettivamente messo nella condizione di esprimere liberamente la propria scelta in ordine alle finalità da perseguire 20.

Le comunicazioni mediante SMS ed MMS
Anche per l'impiego dei sistemi di messaggistica breve (sms, mms) il ga­ rante ritiene indispensabile il consenso dei destinatari quale condizione per un valido trattamento dei dati. La casistica è molto ampia e ricomprende gli sms spediti da un fornitore di servizi di telefonia, per conto proprio o di terzi, quelli inviati da soggetti dif­ ferenti ed, infine, il caso in cui i numeri telefonici siano generati ed utilizzati in modo automatico mediante software 21. Partendo da una serie di reclami, l'autorità ha riaffermato che il consenso deve essere libero, non potendo ritenersi tale una manifestazione di volontà formatasi, esclusivamente o prevalentemente, sulla convinzione della sua ne­ cessità ai fini della stipula di un successivo contratto. In tal caso il consenso viene, infatti, snaturato per il solo fatto che il sog­ getto "deve" prestarlo al fine di ottenere la prestazione desiderata, con l'ulte­ riore rischio che i dati raccolti siano successivamente trattati per uno scopo diverso da quello originariamente previsto 22. Per le stesse ragioni si considerano illeciti sia l'inclusione, tra le clausole contrattuali, di una dichiarazione d'impegno alla ricezione di sms, sia il com­ portamento di uno dei contraenti diretto a fare credere che alcuni sms, aventi un contenuto tipicamente promozionale, siano in realtà dei semplici messaggi di servizio.

Le comunicazioni mediante fax
Quanto sinora esposto, con riferimento alla necessità di un consenso de­ gli interessati, vale anche per le trasmissioni a mezzo telefax23. Anzi, potremmo dire che il problema è quanto mai attuale ed urgente considerata la grande diffusione di questo sistema, soprattutto nella fascia di utenza business, e l'erroneo convincimento che il suo utilizzo per finalità pro­ mozionali sia libero. In più di uno dei casi portati all'attenzione del garante è stato confermato che la pubblicazione dei numeri di telefono in elenchi categorici od in pubblici
20 Cfr. Provvedimento del garante 12 ottobre 2005. Biglietti on line e marketing, in appendice normativa 21 Cfr. Provvedimento generale del Garante del 10 giugno 2003. Linee guida sull'uso degli sms per scopi promozionali e pubblicitari, in appendice normativa 22 Cfr. Provvedimento del garante 12 ottobre 2005 cit. 23 Cfr. Provvedimento del garante del 23 novembre 2006, Fax promozionali: vietato l'invio senza il previsto consenso; Cfr. anche Provvedimento del 31 gennaio 2008, Divieto di invio di fax promozionali senza consenso, in appendice normativa

Pag. 14

La tutela della privacy nelle attività di marketing e promozionali

registri non implica automaticamente, né deve far presumere, il consenso alla ricezione di materiale di qualsiasi genere. Questa interpretazione trova conferma anche nel secondo comma del­ l'art.12924, secondo il quale il trattamento dei dati inseriti negli elenchi degli abbonati ha la sola funzione di facilitare le comunicazioni interpersonali men­ tre, se realizzato per fini ulteriori, come quelli pubblicitari, promozionali o com­ merciali, richiede il consenso libero e preventivo degli interessati, documenta­ to per iscritto e preceduto da idonea informativa.

Il marketing telefonico o teleselling
Anche il teleselling, termine con il quale si intende la promozione o la vendita diretta di prodotti o servizi attraverso lo strumento telefonico, si è gua­ dagnato la recente attenzione dell'autorità garante intervenuta, con alcuni provvedimenti25, per vietare espressamente il trattamento dei dati effettuato in occasione di telefonate promozionali, senza lo specifico consenso da parte degli interessati e l'idonea informativa26. Nel momento in cui si scrive c'è però da registrare una certa tendenza in atto a voler bilanciare i contrapposti interessi degli operatori commerciali e di marketing e le esigenze di riservatezza degli utenti con un impianto normativo meno rigoroso. In tal senso si segnala un recente disegno di legge, di cui si è fatto porta­ voce l'Istituto Italiano Privacy27, che prevede proprio l'istituzione di un sistema di opt-out con riferimento al settore del direct marketing telefonico28. La deroga nel marketing telefonico prevista dalla legge 14/2009 Nel frattempo l'art. 44 della legge 27 febbraio 2009, n. 14, di conversione del D.L. 30 dicembre 2008 (cd. mille-proroghe), ha introdotto nel nostro ordi­ namento giuridico una deroga parziale e temporanea all'applicazione di deter­ minati istituti a tutela della riservatezza, prevedendo che: “I dati personali pre­ senti nelle banche dati costituite sulla base di elenchi telefonici pubblici for­ mati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozio­ nali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giu­ gno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a co­ stituire dette banche dati prima del 1° agosto 2005”.
24 In appendice normativa 25 Stop alle telefonate indesiderate: il Garante impone a gestori e call center di interrompere comportamenti illeciti, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1412772 26 Cfr. anche Marketing telefonico: scattano i divieti del Garante alle telefonate indesiderate, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1544082 27 Con sito web all'indirizzo http://www.istitutoitalianoprivacy.org 28 Cfr. per un primo commento Marketing telefonico e privacy: verso un sistema di opt-out ?, su http://stefanobendandi.blogspot.com/2009/06/marketing-telefonico-e-privacy-verso-un.html

Pag. 15

La tutela della privacy nelle attività di marketing e promozionali

Il punto cruciale della disposizione, alla quale non sono state risparmiate critiche feroci da parte degli operatori del diritto e delle associazione di utenti, è quello che consente, anche in mancanza dell'informativa e del consenso dell'interessato, il trattamento per fini promozionali dei dati personali memoriz­ zati in banche dati costituite, prima della data del 1° agosto 2005, sulla base di elenchi telefonici pubblici. Si tratta, come è evidente, di una eccezione di ampia portata perché, non solo prescinde dal consenso dei singoli interessati, ma li priva anche della possibilità di venire a conoscenza di alcuni trattamenti di dati in essere. In compenso, la deroga è circoscritta alle sole attività promozionali realiz­ zate con il mezzo telefonico e di essa potranno beneficiare soltanto i titolari dei dati, con l'esclusione di qualsiasi altra ipotesi differente (es. acquisto di banche dati). Anzi, proprio per sgombrare il campo da comportamenti poco chiari e da tentativi di applicazione estensiva della norma, il garante è successivamente intervenuto con un provvedimento29 per determinare i requisiti al cui soddisfa­ cimento si intende subordinata la fruizione di questo particolare regime di esenzione. Le misure a tal fine previste impongono ai titolari l'obbligo di:

documentare adeguatamente l'avvenuta costituzione della banca dati prima del 1° agosto 2005, conservando la relativa documentazione presso la propria sede legale; trattare i dati presenti nelle banche dati in modo esclusivo, senza ce­ derli, a qualsiasi titolo, a terzi; specificare, in occasione di ogni contatto telefonico, l'identificativo di chi tratta i dati, anche nel caso in cui questo operi per conto di terzi, e far presente agli interessati il loro diritto di opporsi ai sensi dell'art. 7 del codice; registrare contestualmente ogni eventuale opposizione al trattamen­ to, con effetto immediato anche nei confronti dei terzi, e darne imme­ diato riscontro all'interessato attraverso la comunicazione dell'identifi­ cativo dell'operatore o dell'operazione compiuta; utilizzare i dati personali presenti nelle banche dati per le sole finalità promozionali, non oltre il termine del 31 dicembre 200930; comunicare al Garante, entro quindici giorni dalla pubblicazione del provvedimento in G.U., avvenuta in data 20 marzo 2009, di essere in

29 Provvedimento del 12 marzo 2009, Prescrizioni ai titolari di banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l. n. 207/2008 , in appendice normativa 30 E' esclusa la possibilità di rendere un'informativa agli interessati e richiedere il loro consenso per il trattamento dei dati da effettuare in data successiva al 31 dicembre 2009 per attività di carattere promozionale

Pag. 16

La tutela della privacy nelle attività di marketing e promozionali

possesso di banche dati costituite anteriormente al 1° agosto 2005 che si intendono utilizzare per attività promozionali fino al 31 dicem­ bre 2009, chiarendo se il trattamento dei dati personali venga effet­ tuato anche per conto di terzi;

La comunicazione di servizi e prodotti analoghi
Un trattamento particolare viene riservato all'ipotesi delle comunicazioni elettroniche si inseriscono nell'ambito di rapporti già instaurati con i clienti. A questo proposito il quarto comma dell'art. 130 prevede che: “Fatto sal­ vo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servi­ zio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comu­ nicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è infor­ mato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”. La norma introduce una eccezione al principio generale della richiesta di consenso fissandone, oltretutto, i requisiti per l'operatività: 1. il mezzo utilizzato identificabile nella posta elettronica, come si evince dal fatto che gli interessati devono avere fornito i propri recapiti elettronici in occasione di una precedente vendita 2. l'oggetto dei messaggi costituito da una comunicazione concer­ nente prodotti o servizi analoghi a quelli già forniti 3. l'assenza di rifiuto da parte dei destinatari all'utilizzo dei propri re­ capiti 4. una informativa idonea riguardante la possibilità di opporsi al mo­ mento iniziale della raccolta dei dati ed in occasione di ogni successiva comunicazione Resta, invece, aperto il problema di stabilire quale sia la finestra tempo­ rale entro la quale si possa presumere come validamente prestato il consen­ so a ricevere ulteriori messaggi: si tratta di una questione che appare logico affrontare partendo dal presupposto della ragionevolezza del tempo intercor­ rente tra la precedente vendita ed il successivo invio dei messaggi.

Pag. 17

La tutela della privacy nelle attività di marketing e promozionali

Il marketing di prossimità ed il bluetooth advertising
Il marketing di prossimità è una tecnica che si avvale di strumenti e meto­ di per creare un canale di comunicazione, di natura generalmente promozio­ nale o informativa, con gli individui che si trovano in un area circoscritta (cine­ ma, caffè, aree commerciali, fiere, aeroporti, ecc...) 31. Siamo dinanzi ad un espressione di marketing territoriale, dove l'aggetti­ vo territoriale va inteso nel senso che la comunicazione avviene sul territorio, ma senza un target predefinito. Uno sviluppo particolare, rappresentato dal bluetooth marketing o adver­ tising, si basa sulle reti bluetooth32 per inviare messaggi direttamente ai termi­ nali mobili degli utenti (pda, smartphone, computer portatili, ecc...) all'interno di un area specifica. Al di là delle considerazioni sulla reale efficacia di questi sistemi, essi pongono degli interrogativi derivanti dalla loro natura di potenziali sorgenti di comunicazioni indesiderate. In rete non mancano interventi33 che spiegano le ragioni per le quali si ri­ tiene che il bluetooth marketing non costituisca una forma di spam. La questione, tuttavia, non sembra di così facile soluzione e le motivazio­ ni riportate, seppure in parte condivisibili, non riguardano l'aspetto giuridico del fenomeno sul quale è opportuno, pertanto, soffermarsi. Come già detto in precedenza, i primi due commi dell'art 130 del codice della privacy subordinano al preventivo consenso degli interessati la liceità delle comunicazioni effettuate con sistemi automatici di chiamata, posta elet­ tronica, fax, messaggi sms, mms o di altro tipo per l'invio di materiale pubbli­ citario o di vendita diretta o per il compimento di ricerche di mercato o di co­ municazione commerciale. Il primo dubbio, quindi, è se un sistema di comunicazione bluetooth, uti­ lizzato per questi scopi, possa ricomprendersi in tale ambito di applicazione, quanto meno sotto un profilo di ipotetica assimilazione ai messaggi di "altro tipo", cui la disposizione fa esplicito riferimento. Pur volendo escludere questa eventualità rimane il fatto che, ai sensi del comma terzo dell'art. 130, le comunicazioni inoltrate per le medesime finalità, ma con mezzi diversi, sono permesse sempre con il consenso del destinata­ rio oppure se sussiste una delle fattispecie di trattamento dei dati personali senza consenso previste dall'art. 24.

31 Alfredo Martinelli, Definizione Marketing di prossimità, su http://www.alfredomartinelli.info/viewart.php? idart=80 32 Bluetooth su http://it.wikipedia.org/wiki/Bluetooth 33 Alfredo Martinelli, Il marketing di prossimità non è spam, su http://www.alfredomartinelli.info/viewart.php?idart=97

Pag. 18

La tutela della privacy nelle attività di marketing e promozionali

L'espressione "mezzi diversi da quelli indicati" sembrerebbe legittimare l'inclusione anche dei sistemi bluetooth lasciando, però, aperte altre due que­ stioni. La prima é: una comunicazione attraverso sistemi bluetooth comporta una qualche forma di trattamento di dati personali ? La risposta potrebbe essere positiva se, tra i vari dati scambiati tra le pe­ riferiche durante la connessione, ve ne fosse qualcuno assimilabile ad un "dato personale", secondo l'ampia definizione che ne fornisce l'art. 4 del codi­ ce della privacy. Senza entrare nei dettagli tecnici viene da pensare, innanzitutto, al nome identificativo del dispositivo oppure ad uno degli altri dati coinvolti nel flusso del protocollo di gestione delle connessioni (Link Manager Protocol). Ed inoltre, può configurarsi come valido consenso l'eventuale risposta positiva del destinatario alla richiesta di accettazione del messaggio ? Probabilmente sì, anche se ciò non fornisce una soluzione al problema della potenziale invasività della tecnologia (a quanti messaggi sarebbe neces­ sario rispondere all'interno di un area commerciale di una certa grandezza ?) Difficilmente, invece, si può parlare di consenso qualora i sistemi non sia­ no configurati per richiedere una autorizzazione per ogni messaggio inviato, oppure ignorando gli eventuali rifiuti da parte dei destinatari. Sulla problematica non sono intervenute, al momento in cui si scrive, pro­ nunce da parte dell'autorità garante ma l'orientamento del gruppo di lavoro dei garanti europei è verso una maggiore protezione della privacy dei cittadi­ ni. In un parere è stata infatti evidenziata l'opportunità di ampliare la defini­ zione di sistemi di chiamata, contenuta nell'art. 13 della direttiva 2002/58/CE, in modo tale da ricomprendervi anche quei sistemi legati allo sviluppo tecno­ logico, tra i quali quelli basati sulla tecnologia bluetooth, il cui funzionamento è difficilmente equiparabile ad una chiamata sul terminale dell'utente, almeno nell'attuale impianto normativo.

L'acquisto di banche dati e le comunicazioni per conto di terzi
L'acquisto di banche dati da parte di terzi è una pratica ricorrente diretta a facilitare la realizzazione di molte attività tra cui quelle di marketing. Tuttavia la semplice acquisizione di una banca dati non implica, di per sé, la possibilità di utilizzare i dati personali degli interessati, soprattutto per le fi­ nalità che stiamo trattando.

Pag. 19

La tutela della privacy nelle attività di marketing e promozionali

Sulla base della normativa vigente e dell'orientamento espresso dall'auto­ rità garante34, l'acquirente deve comunque accertare che ogni interessato ab­ bia validamente manifestato il consenso alla comunicazione dei propri dati ed al loro trattamento per l'invio di materiale pubblicitario o promozionale . Inoltre, al momento della registrazione, l'acquirente deve inviare ai sog­ getti interessati l'informativa, di cui all'articolo 13, comprendente l'indicazione di un luogo fisico, e non soltanto elettronico, presso il quale è possibile eser­ citare i propri diritti. In mancanza di tali adempimenti si incorre nell'impossibilità di utilizzare i dati acquisiti, ai sensi dell'art. 11, comma 2, oltre ad una eventuale responsa­ bilità ai sensi dell'art. 15, comma 2. Considerazioni analoghe valgono nell'ipotesi di comunicazioni effettuate, per conto di terzi, da società specializzate: anche queste società che si avval­ gono, spesso, di banche dati proprietarie, sono, infatti, tenute a rispettare le disposizioni in materia di informativa e di consenso, soprattutto per ciò che ri­ guarda l'eventuale comunicazione dei dati personali ai committenti medesimi e le inerenti finalità del trattamento.

34 Cfr. Provvedimento generale del Garante del 29 maggio 2003, cit.

Pag. 20

La tutela della privacy nelle attività di marketing e promozionali

Capitolo 3 Il marketing comportamentale
Rientra nell'ambito delle nuove frontiere del marketing e si definisce com­ portamentale poiché si avvale di una strategia pubblicitaria mirata, basata sulla creazione di messaggi personalizzati (targeting) a partire dal comporta­ mento del singolo consumatore in un determinato contesto35. L'efficacia della tecnica dipende da una analisi di dati storici, piuttosto che dalla semplice deduzione36, e necessita quindi di una mole di informazioni sufficiente a supportare questo tipo di approccio. Queste informazioni che, a seconda dei casi, potrebbero avere anche na­ tura personale sono acquisite da varie fonti, tra cui Internet che svolge il ruolo di principale strumento tecnologico per la ricostruzione delle attività svolte on­ line. Attraverso l'analisi all'utente viene dunque attribuito un determinato profi­ lo, dal quale dipende la successiva personalizzazione della strategia promo­ zionale. Il marketing comportamentale combina i vantaggi del marketing diretto con quelli del marketing di massa in un mix che sembra promettere un eleva­ to tasso di conversione o ritorno degli investimenti. Al tempo stesso, però, le attività di raccolta e profilazione dei dati perso­ nali impongono l'adozione di opportune cautele e, quando effettuate con l'au­ silio degli strumenti informatici, richiedono l'adempimento dell'obbligo della notificazione di cui all'art. 37 del d.lgs. 196/03 37.

L'analisi dei dati raccolti online
Generalmente prende in considerazione tre tipologie di azioni concernen­ ti:
• • •

i siti o le pagine web visitate le parole chiave utilizzate in una ricerca o le pagine lette le visite effettuate in passato

Mentre nel primo caso, il più tipico, i vari segmenti comportamentali sono definiti tramite una aggregazione delle visite degli utenti verso siti con un con­ tenuto specifico, nel secondo, invece, l'indagine parte dallo studio delle ricer­
35 Federico Riva, Il marketing comportamentale nel world wide web, su http://www.businessonline.it/4/Ebusiness/661/Il_marketing_comportamentale_nel_world_wide_web.html 36 In un processo tipicamente deduttivo si presume, ad esempio, che un utente sia interessato all'acquisto di musica se sta visitando il sito di un negozio online di musica 37 In appendice normativa

Pag. 21

La tutela della privacy nelle attività di marketing e promozionali

che effettuate con determinate parole chiave o dalla lettura delle pagine il cui contenuto risulta associato alle stesse keywords. Nell'ultima ipotesi, infine, l'elemento prevalente è costituito da una storia delle visite ed, in particolare, delle azioni compiute da ogni singolo visitatore durante la propria esperienza di navigazione. Ma come possono essere raccolti i dati su Internet ? Una delle tecniche più diffuse è quella dei cookies, piccoli file di testo, in­ viati dai server web e memorizzati sul computer dell'utente, contenenti le in­ formazioni più disparate (numero identificativo, pagine visitate, annunci con­ sultati, ecc...). Sebbene il meccanismo sia stato originariamente sviluppato per rendere più fruibile la navigazione in rete, esso si presta pure ad un utilizzo con finalità di profilazione. In alcune circostanze i cookies possono concorrere a realizzare forme di trattamento dei dati personali. Questo accade quando i dati in essi contenuti consentono l'identificazio­ ne di un soggetto, anche indirettamente, attraverso l'associazione con altri dati (nome utente, indirizzo email o anagrafico, ecc...). L'acquisizione dei dati mediante cookies deve, quindi, ritenersi soggetta alle prescrizioni della legislazione sulla privacy, anche perchè avviene, spes­ so, con modalità automatiche ed invisibili38. La conseguenza più immediata è che ai soggetti interessati deve essere reso noto, con una privacy policy, l'utilizzo dei cookies e deve essere fornita una informativa idonea contenente gli elementi previsti dall'art. 13 (tipologia dei dati, finalità della raccolta, modalità di trattamento, diritti, ecc....); inoltre ad ogni soggetto deve essere offerta la possibilità di scegliere se accettare o rifiutare i cookies. Le medesime considerazioni valgono anche per altri stratagemmi che operano automaticamente (ad es. quelli basati sulle tecnologie javascript, java, ecc....), ovviamente nei limiti, appena indicati, in cui essi realizzano casi di trattamento dei dati personali.

Le carte fedeltà
Le cd. carte fedeltà rientrano nel quadro generale delle iniziative di fide­ lizzazione della clientela ma non è raro che vengano rilasciate anche con la finalità di raccogliere informazioni specifiche relative ai comportamenti di ac­ quisto (volumi di spesa, tipologia di beni o servizi acquistati, frequenza, ecc...).
38 Vedi Raccomandazione 1/99 del gruppo di lavoro dell'art. 29 sul trattamento invisibile ed automatico dei dati personali su Internet effettuato da software ed hardware

Pag. 22

La tutela della privacy nelle attività di marketing e promozionali

La raccolta dei dati personali alla base di questo sistema rientra nelle previsioni del d.lgs. 196/03, tanto che il garante ha ritenuto di dover fare chia­ rezza in materia con il provvedimento generale del 24 febbraio 2005 39. I punti salienti di questo provvedimento riguardano il rispetto dei principi di necessità e proporzionalità, la completezza della informativa, l'esigenza di un consenso libero e la fissazione di termini per la conservazione dei dati. Necessità e proporzionalità implicano l'osservanza di presupposti diffe­ renti, a seconda delle finalità perseguite: fidelizzazione: i dati raccolti devono essere soltanto quelli che permettono di accedere ai vantaggi della carta (informazioni anagrafi­ che e sul volume globale di spesa progressivamente realizzato con l'e­ sclusione, salvo casi particolari, dei dati di dettaglio aventi ad oggetto le tipologie di beni o servizi acquistati, ecc...)40
• • profilazione: i dati devono avere, di regola, natura anonima o non identificativa ed essere privi di riferimenti che permettano di individuare gli interessati e le caratteristiche inerenti la loro sfera personale. Nei casi in cui ciò non sia praticabile, i dati personali, con l'esclusione di quelli sensibili, possono essere oggetto di trattamento in banche dati, purché separate da quelle utilizzate per altre finalità

marketing diretto: possono essere acquisiti solo i dati stretta­ mente indispensabili per l'invio di materiale pubblicitario, le comunica­ zioni commerciali o la vendita diretta

L'informativa che precede ogni trattamento deve essere chiara e comple­ ta, identificando i soggetti ai quali i dati vengono eventualmente comunicati ed evidenziando le caratteristiche delle varie attività di profilazione e marke­ ting diretto. Mentre i dati richiesti per le singole iniziative di fidelizzazione non richie­ dono il consenso degli interessati, essendo funzionali all'adempimento di ob­ blighi derivanti da un contratto 41, per tutte le altre finalità, invece, il consenso deve essere raccolto in modo distinto. In ogni caso non sono lecite forme di condizionamento di alcun tipo, po­ ste in essere subordinando, ad esempio, la fruizione dei vantaggi alla conces­ sione dell'autorizzazione al trattamento dei propri dati per finalità di marketing 42 .
39 In appendice normativa 40 Cfr. provvedimento del garante del 28 maggio 2009, Fidelity card: prescrizioni su trattamento eccedente di dati personali e informativa al cliente, su http://www.garanteprivacy.it/garante/doc.jsp? ID=1625257 41 Ipotesi che realizza una delle fattispecie di trattamento senza consenso, ai sensi dell'art. 24, in appendice normativa 42 Cfr. provvedimento del garante del 24 maggio 2006: profilazione e fidelizzazione nella grande distribuzione, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1298784

Pag. 23

La tutela della privacy nelle attività di marketing e promozionali

Per quanto riguarda invece la conservazione, i dati personali relativi al dettaglio degli acquisti possono essere trattati, per finalità di profilazione o marketing, per un periodo di tempo non superiore, rispettivamente, a dodici o ventiquattro mesi decorrenti dalla data della registrazione. Nel caso di eventi quali la scadenza, la restituzione della carta, ecc..., deve essere previsto un termine di conservazione non superiore ai tre mesi per le sole finalità amministrative.

Pag. 24

La tutela della privacy nelle attività di marketing e promozionali

Capitolo 4 Il marketing geografico
Il marketing geografico prevede l'impiego di sistemi che utilizzano infor­ mazioni di natura geografica (Geographic Information System) nell'ambito del processo di pianificazione ed implementazione delle varie attività del marke­ ting mix (prodotto, prezzo, promozione e posizionamento). Si tratta in pratica di sistemi di business intelligence, espressione di un marketing di tipo territoriale, che guidano le scelte operative, permettendo di definire le azioni più appropriate in relazione al particolare ambito geografico in cui si trova od opera una determinata realtà. Il risultato è dato da una ottimizzazione delle stesse attività e strategie, comprese quelle di natura promozionale, grazie anche alla scelta di forme di comunicazione più idonee per il contesto di riferimento.

I servizi basati sulla localizzazione
Nell'ambito delle implicazioni pratiche del marketing geografico o territo­ riale rientrano alcuni servizi accessibili attraverso dispositivi mobili (cellulari, smartphone o pda, computer portatili, ecc...). Tali servizi denominati LBS, acronimo di Location Based Services, rap­ presentano il frutto dello sviluppo tecnologico nel settore delle comunicazioni mobili ed abbracciano tutte quelle applicazioni che sfruttano la capacità di de­ terminare la posizione geografica di una periferica per fornire servizi di valore aggiunto (emergenza, navigazione su strada, informazioni turistiche, commer­ ciali o meteorologiche, localizzazione di persone, ecc...). Da un punto di vista tecnologico il funzionamento dei sistemi di localizza­ zione può essere incentrato sulla rete oppure esterno, a seconda che la sor­ gente delle informazioni rientri o meno sotto il controllo di un operatore di co­ municazioni elettroniche. Alla prima categoria appartengono le reti GSM/UMTS, mentre nel secon­ do gruppo rientrano la rete satellitare GPS (Global Positioning System), Gali­ leo, i sistemi di posizionamento peer-to-peer o quelli basati su ponti radio o su reti wireless. L'architettura complessiva prevede il coinvolgimento di tre entità: il forni­ tore dei servizi, l'utente e l'operatore delle comunicazioni: quest'ultimo, in par­ ticolare, agisce da intermediario trasmettendo i dati di localizzazione al forni­ tore dei servizi, il quale combina questi dati con quelli geografici per erogare quanto richiesto.

Pag. 25

La tutela della privacy nelle attività di marketing e promozionali

Dalla premessa si evince, quindi, che i dati relativi all'ubicazione43 hanno un ruolo fondamentale per il corretto funzionamento dell'intera architettura. D'altra parte essi riguardano sempre una persona fisica, identificata od identificabile e, nella misura in cui consentono di determinarne il posiziona­ mento, finiscono per acquisire anche un valore commerciale non trascurabile. Per queste ragioni tutte le parti coinvolte, direttamente ed indirettamente, nella fornitura di un servizio a valore aggiunto basato su dati di ubicazione devono attenersi ai principi vigenti in materia di protezione dei dati personali. Tali principi sono quelli dettati dall'art. 126 del d.lgs. 196/03 44: il primo comma subordina la possibilità del trattamento al fatto che le informazioni ab­ biano natura anonima oppure al preventivo consenso dell'utente o abbonato 45 . Prima della richiesta del consenso il soggetto che effettua la raccolta dei dati relativi all'ubicazione46 deve trasmettere all'interessato una informativa chiara, completa ed esaustiva su: 1. 2. 3. 4. 5. tipologia di dati trattati finalità e durata del trattamento eventuale trasmissione dei dati a terzi fornitori di servizi a valore aggiunto identità del titolare, responsabile ed eventuale rappresentante diritti degli interessati previsti dall'art. 7, compreso il diritto di revocare il proprio consenso in qualsiasi momento, e quello di richiedere, gratuitamente ed in modo agevole, l'interruzione temporanea del trattamento per ciascun collegamento alla rete o trasmissione di comunicazioni

Il consenso deve essere manifestato specificamente47 e devono essere adottate misure adeguate per accertare che la volontà sia espressa dalla per­ sona cui effettivamente si riferiscono i dati. Esso può comunque riguardare una singola operazione specifica oppure un trattamento su base continuativa. Con riferimento a quest'ultima eventualità il gruppo di lavoro dell'art. 29 48 ha formulato alcune raccomandazioni, ritenendo che il fornitore dei servizi a
43 La definizione si ricava dall'art. 4, comma 2, lett. i) del codice della privacy, in appendice normativa 44 In appendice normativa 45 Anche se la norma non è molto chiara al riguardo si ritiene che il consenso debba essere quello della persona cui si riferiscono i dati di ubicazione, cioè in pratica dell'utilizzatore dell'apparecchiatura terminale; Vedi il parere del 25 novembre 2005, adottato dal gruppo di lavoro dell'art. 29 e relativo all'uso dei dati di ubicazione al fine di fornire servizi a valore aggiunto, disponibile all'indirizzo http://www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp115_it.pdf 46 Si tratta del fornitore dei servizi a valore aggiunto oppure, nel caso in cui il fornitore non sia in contatto diretta con l'interessato, l'operatore delle comunicazione elettroniche 47 Deve, perciò, escludersi che un valido consenso possa essere formulato in sede di accettazione delle condizioni generali del servizio di comunicazione elettronica 48 Cfr. parere del 25 novembre 2005, cit.

Pag. 26

La tutela della privacy nelle attività di marketing e promozionali

valore aggiunto debba:
• confermare l'iscrizione al servizio inviando un messaggio al termi­ nale dell'utente, dopo aver ricevuto il consenso, oppure chiedere con­ ferma esplicita dell'iscrizione

comunicare, periodicamente, all'interessato la circostanza che il suo terminale costituisce oggetto di localizzazione.

Le caratteristiche dei dati trattati obbligano, inoltre, ad adottare misure di sicurezza specifiche, sia dal punto di vista della conservazione, che per quan­ to concerne l'accesso. La conservazione non può infatti estendersi oltre il termine per la fornitu­ ra del servizio: una volta che quest'ultimo è cessato i dati vanno cancellati, a meno che non siano necessari ai fini della fatturazione, oppure resi anonimi. Sull'ultimo punto, invece, si pronuncia il comma 4 dell'art 126: l'accesso è consentito, previa identificazione e registrazione, alle sole persone che opera­ no sotto l'autorità del soggetto fornitore del servizio, nella misura e per il tem­ po necessari.

Pag. 27

La tutela della privacy nelle attività di marketing e promozionali

Appendice normativa
Decreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy) Art. 3 – Principio di necessità nel trattamento dei dati Art. 4 – Definizioni 1. Ai fini del presente codice si intende per: a) "trattamento", qualunque operazione o complesso di operazioni, effet­ tuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elabo­ razione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancella­ zione e la distruzione di dati, anche se non registrati in una banca di dati; b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato; d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed et­ nica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politi­ che, l'adesione a partiti, sindacati,associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rive­ lare lo stato di salute e la vita sessuale; e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 no­ vembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle san­ zioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; f) "titolare", la persona fisica, la persona giuridica, la pubblica amministra­ zione e qualsiasi altro ente, associazione od organismo cui competono, an­ che unitamente ad altro titolare, le decisioni in ordine alle finalità, alle mo­ dalità del trattamento di dati personali e agli strumenti utilizzati, ivi com­ preso il profilo della sicurezza; g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

Pag. 29

La tutela della privacy nelle attività di marketing e promozionali

i) "interessato", la persona fisica, la persona giuridica, l'ente o l'as­ sociazione cui si riferiscono i dati personali; l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; m) "diffusione", il dare conoscenza dei dati personali a soggetti indetermi­ nati, in qualunque forma, anche mediante la loro messa a disposizione o con­ sultazione; n) "dato anonimo", il dato che in origine, o a seguito di trattamen­ to, non può essere associato ad un interessato identificato o identificabile; o) "blocco", la conservazione di dati personali con sospensione tem­ poranea di ogni altra operazione del trattamento; p) "banca di dati", qualsiasi complesso organizzato di dati personali, ri­ partito in una o più unità dislocate in uno o più siti; q) "Garante", l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n 675. 2. Ai fini del presente codice si intende, inoltre, per: a) "comunicazione elettronica", ogni informazione scambiata o tra­ smessa tra un numero finito di soggetti tramite un servizio di comunicazio­ ne elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ri­ cevente, identificato o identificabile; b) "chiamata", la connessione istituita da un servizio telefonico accessibi­ le al pubblico, che consente la comunicazione bidirezionale in tempo reale; c) "reti di comunicazione elettronica", i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che con­ sentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mo­ bili e fisse a commutazione di circuito e a commutazione di pacchetto, com­ presa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misu­ ra in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, in­ dipendentemente dal tipo di informazione trasportato; d) "rete pubblica di comunicazioni", una rete di comunicazioni elet­ troniche utilizzata interamente o prevalentemente per fornire servizi di comu­ nicazione elettronica accessibili al pubblico;

Pag. 30

La tutela della privacy nelle attività di marketing e promozionali

e) "servizio di comunicazione elettronica", i servizi consistenti esclu­ sivamente o prevalentemente nella trasmissione di segnali su reti di co­ municazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7marzo 2002; f) "abbonato", qualunque persona fisica, persona giuridica, ente o asso­ ciazione parte di un contratto con un fornitore di servizi di comunicazione elet­ tronica accessibili al pubblico per la fornitura di tali servizi, o comunque desti­ natario di tali servizi tramite schede prepagate; g) "utente", qualsiasi persona fisica che utilizza un servizio di co­ municazione elettronica accessibile al pubblico, per motivi privati o com­ merciali, senza esservi necessariamente abbonata; h) "dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione; i) "dati relativi all'ubicazione", ogni dato trattato in una rete di comunica­ zione elettronica che indica la posizione geografica dell'apparecchiatura ter­ minale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico; l) "servizio a valore aggiunto", il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati rela­ tivi al traffico, oltre a quanto è necessario per la trasmissione di una comuni­ cazione o della relativa fatturazione; m) "posta elettronica", messaggi contenenti testi, voci, suoni o im­ magini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale rice­ vente, fino a che il ricevente non ne ha preso conoscenza. 3. Ai fini del presente codice si intende, altresì, per: a) "misure minime", il complesso delle misure tecniche, informati­ che, organizzative, logistiche e procedurali di sicurezza che configurano il li­ vello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31; b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si ef­ fettua il trattamento; c) "autenticazione informatica", l'insieme degli strumenti elettronici e del­ le procedure per la verifica anche indiretta dell'identità; d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati,

Pag. 31

La tutela della privacy nelle attività di marketing e promozionali

utilizzati per l'autenticazione informatica; e) "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequen­ za di caratteri o altri dati in forma elettronica; f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; g) "sistema di autorizzazione", l'insieme degli strumenti e delle pro­ cedure che abilitano l'accesso ai dati e alle modalità di trattamento de­ gli stessi, in funzione del profilo di autorizzazione del richiedente. 3. Ai fini del presente codice si intende, altresì, per: a) "misure minime", il complesso delle misure tecniche, informati­ che, organizzative, logistiche e procedurali di sicurezza che configurano il li­ vello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31; b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si ef­ fettua il trattamento; c) "autenticazione informatica", l'insieme degli strumenti elettronici e del­ le procedure per la verifica anche indiretta dell'identità; d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; e) "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequen­ za di caratteri o altri dati in forma elettronica; f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; g) "sistema di autorizzazione", l'insieme degli strumenti e delle pro­ cedure che abilitano l'accesso ai dati e alle modalità di trattamento de­ gli stessi, in funzione del profilo di autorizzazione del richiedente. 4. Ai fini del presente codice si intende per: a) "scopi storici", le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato; b) "scopi statistici", le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici;

Pag. 32

La tutela della privacy nelle attività di marketing e promozionali

c) "scopi scientifici", le finalità di studio e di indagine sistematica fina­ lizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore. Art. 7 – Diritto di accesso ai dati personali ed altri diritti 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausi­ lio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresen­ tante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incari­ cati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'inte­ grazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessa­ ria la conservazione in relazione agli scopi per i quali i dati sono stati rac­ colti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo ri­ guardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di mate­ riale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Pag. 33

La tutela della privacy nelle attività di marketing e promozionali

Art. 8 – Esercizio dei diritti 1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incarica­ to, alla quale è fornito idoneo riscontro senza ritardo. 2. I diritti di cui all'articolo 7 non possono essere esercitati con ri­ chiesta al titolare o al responsabile o con ricorso ai sensi dell'articolo 145, se i trattamenti di dati personali sono effettuati: a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e suc­ cessive modificazioni, in materia di riciclaggio; b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estor­ sive; c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'arti­ colo 82 della Costituzione; d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli in­ termediari e dei mercati creditizi e finanziari, nonché alla tutela della loro sta­ bilità; e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria; f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa deri­ varne un pregiudizio effettivo e concreto per lo svolgimento delle investi­ gazioni difensive di cui alla legge 7 dicembre 2000, n. 397; g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogover­ no o il Ministero della giustizia; h) ai sensi dell'articolo 53, fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121. 3. Il Garante, anche su segnalazione dell'interessato, nei casi di cui al comma 2, lettere a), b), d), e) ed f) provvede nei modi di cui agli articoli 157, 158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo comma, provvede nei modi di cui all'articolo 160. 4. L'esercizio dei diritti di cui all'articolo 7, quando non riguarda dati di ca­ rattere oggettivo, può avere luogo salvo che concerna la rettificazione o

Pag. 34

La tutela della privacy nelle attività di marketing e promozionali

l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinio­ ni o ad altri apprezzamenti di tipo soggettivo, nonché l'indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del ti­ tolare del trattamento. Art. 9 – Modalità di esercizio 1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Ga­ rante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile. 2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato può confe­ rire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia. 3. I diritti di cui all'articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione. 4. L'identità dell'interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega copia della pro­ cura, ovvero della delega sottoscritta in presenza di un incaricato o sotto­ scritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato è una perso­ na giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti. 5. La richiesta di cui all'articolo 7, commi 1 e 2, è formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni. Art. 10 – Riscontro all'interessato 1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è tenuto ad adottare idonee misure volte, in partico­ lare: a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati identificati o identificabili; b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il

Pag. 35

La tutela della privacy nelle attività di marketing e promozionali

pubblico. 2. I dati sono estratti a cura del responsabile o degli incaricati e posso­ no essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazio­ ni. Se vi è richiesta, si provvede alla trasposizione dei dati su suppor­ to cartaceo o informatico, ovvero alla loro trasmissione per via telematica. 3. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'inte­ ressato comprende tutti i dati personali che riguardano l'interessato co­ munque trattati dal titolare. Se la richiesta è rivolta ad un esercente una professione sanitaria o ad un organismo sanitario si osserva la disposizione di cui all'articolo 84, comma 1. 4. Quando l'estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell'interessato può avvenire anche attraverso l'e­ sibizione o la consegna in copia di atti e documenti contenenti i dati per­ sonali richiesti. 5. Il diritto di ottenere la comunicazione in forma intelligibile dei dati non riguarda dati personali relativi a terzi, salvo che la scomposizione dei dati trat­ tati o la privazione di alcuni elementi renda incomprensibili i dati personali re­ lativi all'interessato. 6. La comunicazione dei dati è effettuata in forma intelligibile anche at­ traverso l'utilizzo di una grafia comprensibile. In caso di comunicazione di codici o sigle sono forniti, anche mediante gli incaricati, i parametri per la comprensione del relativo significato. 7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e 2, let­ tere a), b) e c) non risulta confermata l'esistenza di dati che riguardano l'interessato, può essere chiesto un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico. 8. Il contributo di cui al comma 7 non può comunque superare l'importo determinato dal Garante con provvedimento di carattere generale, che può individuarlo forfettariamente in relazione al caso in cui i dati sono trattati con strumenti elettronici e la risposta è fornita oralmente. Con il me­ desimo provvedimento il Garante può prevedere che il contributo possa esse­ re chiesto quando i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole impiego di mezzi in relazione alla complessità o all'entità delle richieste ed è confermata l'esistenza di dati che riguardano l'interessato. 9. Il contributo di cui ai commi 7 e 8 è corrisposto anche median­ te versamento postale o bancario, ovvero mediante carta di pagamento o di

Pag. 36

La tutela della privacy nelle attività di marketing e promozionali

credito, ove possibile all'atto della ricezione del riscontro e comunque non ol­ tre quindici giorni da tale riscontro. Art. 11 – Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali sco­ pi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati. Art. 13 – Informativa 1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono es­ sere comunicati o che possono venirne a conoscenza in qualità di re­ sponsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quan­ do il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. 2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli ele­ menti già noti alla persona che fornisce i dati o la cui conoscenza può ostaco­ lare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni

Pag. 37

La tutela della privacy nelle attività di marketing e promozionali

ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati. 3. Il Garante può individuare con proprio provvedimento modalità sempli­ ficate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico. 4. Se i dati personali non sono raccolti presso l'interessato, l'infor­ mativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunica­ zione. 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un re­ golamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Ga­ rante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Ga­ rante, impossibile. Art. 23 – Consenso 1. Il trattamento di dati personali da parte di privati o di enti pubblici eco­ nomici è ammesso solo con il consenso espresso dell'interessato. 2. Il consenso può riguardare l'intero trattamento ovvero una o più opera­ zioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso libera­ mente e specificamente in riferimento ad un trattamento chiaramente indivi­ duato, se è documentato per iscritto, e se sono state rese all'interessato le in­ formazioni di cui all'articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguar­ da dati sensibili. Art. 24 – Casi nei quali può essere effettuato il trattamento senza consenso 1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

Pag. 38

La tutela della privacy nelle attività di marketing e promozionali

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del con­ tratto, a specifiche richieste dell'interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o docu­ menti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibi­ lità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e indu­ striale; e) è necessario per la salvaguardia della vita o dell'incolumità fisi­ ca di un terzo. Se la medesima finalità riguarda l'interessato e quest'ul­ timo non può prestare il proprio consenso per impossibilità fisica, per inca­ pacità di agire o per incapacità di intendere o di volere, il consenso è mani­ festato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsa­ bile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sem­ pre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un le­ gittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legitti­ mo interesse dell'interessato; h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interes­ sati all'atto dell'informativa ai sensi dell'articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi

Pag. 39

La tutela della privacy nelle attività di marketing e promozionali

scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e am­ bientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati. Art. 37 – Notificazione del trattamento 1. Il titolare notifica al Garante il trattamento di dati personali cui inten­ de procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica re­ lativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rile­ vazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da as­ sociazioni, enti od organismi senza scopo di lucro, anche non riconosciu­ ti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di con­ sumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettroni­ ca con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricer­ che di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elet­ tronici e relative al rischio sulla solvibilità economica, alla situazione patrimo­ niale, al corretto adempimento di obbligazioni, a comportamenti illeciti o frau­ dolenti. 1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale. 2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il Garante può anche individuare, nell'ambito dei trattamenti di cui al comma 1,

Pag. 40

La tutela della privacy nelle attività di marketing e promozionali

eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione. 3. La notificazione è effettuata con unico atto anche quando il trat­ tamento comporta il trasferimento all'estero dei dati. 4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive fi­ nalità di applicazione della disciplina in materia di protezione dei dati persona­ li. Art. 126 – Dati relativi all'ubicazione 1. I dati relativi all'ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comuni­ cazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l'utente o l'abbonato ha manifestato previamente il proprio con­ senso, revocabile in ogni momento, e nella misura e per la durata neces­ sari per la fornitura del servizio a valore aggiunto richiesto. 2. Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e gli abbonati sulla natura dei dati relativi all'ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla durata di quest'ultimo, nonché sull'eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto. 3. L'utente e l'abbonato che manifestano il proprio consenso al trattamento dei dati relativi all'ubicazione, diversi dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l'interruzione temporanea del trattamento di tali dati per cia­ scun collegamento alla rete o per ciascuna trasmissione di comunicazioni. 4. Il trattamento dei dati relativi all'ubicazione diversi dai dati relati­ vi al traffico, ai sensi dei commi 1, 2 e 3, è consentito unicamente ad incaricati del trattamento che operano ai sensi dell'articolo 30, sono la diretta autorità del fornitore del servizio di comunicazione elettronica ac­ cessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per la fornitu­ ra del servizio a valore aggiunto e deve assicurare l'identificazione del­ l'incaricato che accede ai dati anche mediante un'operazione di interrogazio­ ne automatizzata.

Pag. 41

La tutela della privacy nelle attività di marketing e promozionali

Art. 129 – Elenchi di abbonati 1. Il Garante individua con proprio provvedimento, in cooperazione con l'Autorità per le garanzie nelle comunicazioni ai sensi dell'articolo 154, comma 3, e in conformità alla normativa comunitaria, le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi carta­ cei o elettronici a disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di entrata in vigore del presente codice. 2. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all 'inclusione negli elenchi e, rispettivamente, all'utilizzo dei dati per le finalità di cui all'articolo 7, comma 4, lettera b), in base al principio della massima semplificazione delle modalità di inclu­ sione negli elenchi a fini di mera ricerca dell'abbonato per comuni­ cazioni interpersonali, e del consenso specifico ed espresso qualora il tratta­ mento esuli da tal i fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri. Art. 130 – Comunicazioni indesiderate 1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato. 2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo. 3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le fina­ lità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24. 4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessa­ to, sempre che si tratti di servizi analoghi a quelli oggetto della vendi­ ta e l'interessato, adeguatamente informato, non rifiuti tale uso, inizial­ mente o in occasione di successive comunicazioni. L'interessato, al mo­ mento della raccolta e in occasione dell'invio di ogni comunicazione ef­ fettuata per le finalità di cui al presente comma, è informato della pos­ sibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratui­ tamente. 5. É vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o ce­ lando l'identità del mittente o senza fornire un idoneo recapito presso il

Pag. 42

La tutela della privacy nelle attività di marketing e promozionali

quale l'interessato possa esercitare i diritti di cui all'articolo 7. 6. In caso di reiterata violazione delle disposizioni di cui al presen­ te articolo il Garante può, provvedendo ai sensi dell'articolo 143, com­ ma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relati­ vamente alle coordinate di posta elettronica da cui sono stati inviate le comu­ nicazioni. Art. 161 – Omessa o inidonea informativa all'interessato 1. La violazione delle disposizioni di cui all'articolo 13 è punita con la san­ zione amministrativa del pagamento di una somma da tremila euro a di­ ciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quan­ do risulta inefficace in ragione delle condizioni economiche del contrav­ ventore.

Pag. 43

La tutela della privacy nelle attività di marketing e promozionali

Decreto legislativo 6 settembre 2005, n. 206 (Codice del consumo) Art. 58 – Limiti all'impiego di talune tecniche di comunicazione a distanza 1. L'impiego da parte di un professionista del telefono, della posta elet­ tronica, di sistemi automatizzati di chiamata senza l'intervento di un operato­ re o di fax richiede il consenso preventivo del consumatore. 2. Tecniche di comunicazione a distanza diverse da quelle di cui al com­ ma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal professionista se il consumatore non si dichiara esplicitamente contrario 49.

49 Secondo l'art. 19-bis della legge 23 febbraio 2006, n. 51, di conversione del decreto legge 30 dicembre 2005, n. 273, il comma 2 dell'art. 58 del codice del consumo trova applicazione anche in deroga alle disposizioni del codice della privacy.

Pag. 44

La tutela della privacy nelle attività di marketing e promozionali

Autorità garante della privacy
Provvedimento generale del 29 maggio 2003, Spamming: regole per un corretto invio delle e-mail pubblicitarie IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dr. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario ge­ nerale; VISTI i reclami e le segnalazioni pervenuti all’Autorità circa l’indebito uti­ lizzo della posta elettronica per finalità promozionali e pubblicitarie; VISTE le decisioni già adottate dal Garante in materia e ritenuto neces­ sario adottare un provvedimento di carattere generale sull’applicazione della disciplina in materia; VISTI la legge 31 dicembre 1996, n. 675, il d.lg. 13 maggio 1998, n. 171 e le altre disposizioni applicabili; VISTI gli atti d’ufficio; VISTE le osservazioni formulate dal segretario generale ai sensi del’art. 15 del regolamento del Garante n. 1/2000; RELATORE il dott. Mauro Paissan; PREMESSO 1. I DISAGI DI NUMEROSI UTENTI Continuano a pervenire a questa Autorità diverse centinaia di reclami e segnalazioni da parte di utenti di reti telematiche e di associazioni per la tute­ la dei diritti di utenti e consumatori, che contestano la ricezione di messaggi di posta elettronica per scopi promozionali, pubblicitari, di informazione commer­ ciale o di vendita diretta, inviati senza che gli interessati abbiano manifestato in precedenza il proprio consenso informato. Numerosi interessati espongono anche ulteriori disagi derivanti dalla co­ stante ripetizione di analoghi messaggi da parte di uno stesso mittente titolare del trattamento, dai vani tentativi esperiti per ottenere sia la cancellazione del proprio indirizzo di posta elettronica presso i mittenti, sia l’interruzione di altri messaggi. Altre segnalazioni riguardano gli inconvenienti che derivano dalla ricezione di e-mail anonime o prive dell’indicazione di un indirizzo, oppure del­ le coordinate veritiere di un reale mittente. Nella prevalenza dei casi, agli interessati non è stato previamente richie­ sto, come dovuto, uno specifico consenso preceduto da un’idonea informati­ va che illustri adeguatamente le modalità e le caratteristiche dei messaggi.

Pag. 45

La tutela della privacy nelle attività di marketing e promozionali

In altri casi i messaggi sono inviati da imprese -anche in questo caso senza consenso- per promuovere, presso clienti, prodotti o servizi analoghi a quelli forniti in un rapporto contrattuale, oppure per offrire altri tipi di prodotti o servizi distribuiti anche da terzi. Il Garante ha fornito assistenza a numerosi cittadini, indicando le oppor­ tune modalità di tutela; ha poi attivamente cooperato in sede comunitaria per l’adozione di decisioni comuni alle autorità di garanzia dei Paesi dell’Unione europea, pubblicate nel sito Internet di quest’ultima e in quello del Garante (www.garanteprivacy.it). L’Autorità ha anche accolto numerosi ricorsi (art. 29 legge n. 675/1996), a seguito dei quali sono stati impartiti specifici divieti di trattamento dei dati. Sono stati altresì avviati i procedimenti per applicare le pertinenti sanzioni amministrative e sono stati trasmessi gli atti all’autorità giudiziaria penale nei casi in cui erano configurabili reati. Con la collaborazione di forze di polizia, incaricate da questa Autorità di svolgere i necessari controlli e di dare esecuzione ai provvedimenti, sono sta­ ti eseguiti in loco, presso fornitori di servizi ed altri titolari di trattamento, vari provvedimenti di sospensione temporanea di ogni operazione illecita del trat­ tamento dei dati personali da parte di società risultate responsabili di attività svolte in modo sistematico. Infine, sono stati eseguiti accertamenti presso al­ tri fornitori di servizi di accesso ad Internet o ulteriori soggetti, per verificare la rispondenza dei trattamenti di dati alla normativa vigente. A conclusione di queste attività, il Garante ravvisa la necessità di adotta­ re un provvedimento di carattere generale per indicare le misure che gli ope­ ratori del settore devono adottare al fine di conformarsi alla disciplina genera­ le sull’uso dei dati personali, specie nel settore delle comunicazioni (in parti­ colare, alla legge 31 dicembre 1996, n. 675, al decreto legislativo 13 maggio 1998, n. 171 e al decreto legislativo 22 maggio 1999, n. 185). L’Autorità ritie­ ne inoltre necessario inibire il trattamento illecito di dati risultante da altre se­ gnalazioni il cui esame è stato riunito in un unico procedimento, in particolare di quelle relative a titolari di trattamento identificabili. 2. INVIO LECITO DI POSTA ELETTRONICA PUBBLICITARIA Gli indirizzi di posta elettronica recano dati di carattere personale da trat­ tare nel rispetto della normativa in materia (art. 1, comma 1 lett. c), legge n. 675). La loro utilizzazione per scopi promozionali e pubblicitari è possibile solo se il soggetto cui riferiscono i dati ha manifestato in precedenza un consenso libero, specifico e informato. Il consenso è necessario anche quando gli indirizzi sono formati ed utiliz­ zati automaticamente con un software senza l’intervento di un operatore, o in mancanza di una previa verifica della loro attuale attivazione o dell’identità del

Pag. 46

La tutela della privacy nelle attività di marketing e promozionali

destinatario del messaggio, e anche quando gli indirizzi non sono registrati dopo l’invio dei messaggi. Questo assetto, basato su una scelta dell’interessato c.d. di opt-in, è sta­ to ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una recente direttiva comunitaria lo estendesse a tutti i Paesi dell’Unione europea (n. 2002/58/CE in fase di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 lu­ glio 2002). Questa Autorità si è pronunciata più volte in materia ribadendo che la cir­ costanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in Internet non comporta il diritto di utilizzarli liberamente per in­ viare messaggi pubblicitari (cfr., ra l’altro, la decisione dell’11 gennaio 2001 in Bollettino del Garante n. 16). In particolare, i dati dei singoli utenti che prendono parte a gruppi di di­ scussione in Internet sono resi conoscibili in rete per le sole finalità di parteci­ pazione ad una determinata discussione e non possono essere utilizzati per fini diversi qualora manchi un consenso specifico (art. 9, comma 1, lettere a) e b), legge n. 675). Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettroni­ ca compresi nella lista “anagrafica” degli abbonati ad un Internet provider (qualora manchi, anche in questo caso, un consenso libero e specifico), op­ pure pubblicati su siti web di soggetti pubblici per fini istituzionali. Tali considerazioni valgono anche con riferimento ai messaggi pubblicita­ ri inviati a gestori di siti web -anche di soggetti privati- utilizzando gli indirizzi pubblicati sugli stessi siti, o che sono reperibili consultando gli elenchi dei soggetti che hanno registrato i nomi a dominio. In quest’ultimo caso, infatti, la conoscibilità in rete degli indirizzi è volta a identificare il soggetto che è o ap­ pare responsabile, sul piano tecnico o amministrativo, di un nome a dominio o di altre funzioni rispetto a servizi Internet (per la tutela di vari diritti sul piano civile e penale, anche ai sensi della legge n. 675) e non anche a rendere l’in­ teressato disponibile all’invio di messaggi pubblicitari). In tutti questi casi, l’utilizzo spesso massivo della posta elettronica com­ porta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare diverso tempo per mantenere un collegamento e per ricevere, come pure per esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibi­ li, nonché a sostenere i correlativi costi per il collegamento telefonico (incre­ mentati anche da messaggi di dimensioni rilevanti che rallentano tali opera­ zioni), oppure ad adottare “filtri”, a verificare più attentamente la presenza di virus, o a cancellare rapidamente materiali inadatti a minori specie in ambito domestico. Il fenomeno interessa anche piccole e grandi imprese destinatarie di un elevato numero di messaggi, le quali devono farsi carico di misure interne e di costi anche organizzativi per contrastarlo.

Pag. 47

La tutela della privacy nelle attività di marketing e promozionali

Questo ingiustificato riversamento sugli utenti dei costi pubblicitari si veri­ fica anche relativamente a messaggi inviati da singole persone fisiche che, in vari casi esaminati, non si limitano ad una comunicazione episodica, ma intra­ prendono una comunicazione sistematica per fini personali o, addirittura, una diffusione di dati cui è applicabile la disciplina in materia di protezione dei dati personali (art. 3 legge n. 675). 3. IL QUADRO GIURIDICO SU INFORMATIVA E CONSENSO La legge individua il contenuto dell’informativa agli interessati, nonché i casi in cui è necessario il consenso espresso dell’interessato o è possibile prescinderne (artt. 10, 11, 12 e 20 legge n. 675). Al riguardo va nuovamente rilevato che non può farsi a meno del consen­ so ritenendo che i dati personali relativi all’indirizzo di posta elettronica –e al­ l’indirizzo in particolare- siano “pubblici” in quanto conoscibili da chiunque. Le disposizioni normative che si riferiscono a questo aspetto (artt. 12, comma 1, lett. c) e 20, comma 1, lett. b) legge cit.) sono infatti applicabili solo quando vi è un pubblico registro, elenco, atto o documento conoscibile da chiunque perché vi è una specifica disciplina che ne impone la conoscibilità indifferenziata da parte del pubblico, e non anche quando i dati personali sono conoscibili da chiunque per mere circostanze di fatto (si pensi, oltre ai casi già richiamati di raccolta su siti web o di messaggi trasmessi su new­ sgroup o su mailing list, agli indirizzi di posta elettronica raccolti in rete tramite appositi software o mediante comuni motori di ricerca). Il principio del consenso è quindi già operante nel nostro ordinamento pri­ ma ancora di essere affermato senza eccezioni su scala europea, dalla men­ zionata direttiva n. 2002/58 in fase di recepimento, a tutta la posta elettronica comunque inviata per fini di commercializzazione diretta (si vedano in partico­ lare l’art. 13 e il considerando n. 40). Il quadro evidenziato trova conferma nella disciplina sulla protezione dei consumatori nei contratti a distanza che, in riferimento al rapporto sottostante ai fini del quale si procede al trattamento di dati personali, vieta ai fornitori l’impiego della posta elettronica in mancanza del consenso preventivo del consumatore, in relazione a determinati scopi tra i quali rientrano anche quelli pubblicitari (art. 10, comma 1, d.lg. 22 maggio 1999, n. 185). Per gli aspetti relativi alla protezione dei dati personali non devono esse­ re peraltro considerate le disposizioni del recente decreto legislativo 9 aprile 2003, n. 70, sul commercio elettronico, dichiarate in proposito espressamente inapplicabili (art. 1, comma 2, lett. b) d.lg. n. 70 cit.). Il consenso, da documentare per iscritto, deve essere manifestato libera­ mente, in modo esplicito e in forma differenziata rispetto alle diverse finalità e alle categorie di servizi e prodotti offerti, prima dell’inoltro dei messaggi (art. 11 legge n. 675).

Pag. 48

La tutela della privacy nelle attività di marketing e promozionali

Tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere un consenso abbia comunque un contenuto promozionale oppure pubblicitario, oppure riconoscendo solo un diritto di tipo c.d. “opt-out” al fine di non ricevere più messaggi dello tesso tenore. Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno semplice conferma della sua manifestazione, attraverso un messaggio volto unicamente ad annunciare il successivo inoltro di materiale pubblicitario. Tale prassi, se utilizzata correttamente, consente tra l’altro di verificare l’effet­ tiva corrispondenza dell’indirizzo di posta elettronica ai soggetti che avevano espresso il consenso, nonché di accertare il permanere di tale volontà. L’insieme dei diritti riconosciuti dalla legge agli utenti determina, in caso di loro violazione, un trattamento illecito dei dati che: è già vietato direttamente dalla legge, senza che sia necessario adottare uno specifico provvedimento interdittivo del Garante dell’auto­ rità giudiziaria;- determina, a seconda dei casi, l’applicazione di sanzio­ ni amministrative pecuniarie, in particolare per

omessa informativa od omessa notificazione (artt. 10, 34 e 39 leg­ ge n. 675; art. 12 d.lg. n. 185/1999);
• • comporta il rimborso delle spese e dei diritti relativi al procedimen­ to attivato da un fondato ricorso al Garante, oppure da un’azione di­ nanzi al giudice civile, come pure il risarcimento dei danni, specie di tipo patrimoniale, che derivino dai fatti illeciti e siano comprovati dall’in­ teressato in relazione ai disagi sopra illustrati; • rende applicabile anche una sanzione penale qualora il trattamen­ to illecito dei dati sia effettuato al fine di trarne per sé o per altri un pro­ fitto o per arrecare ad altri un danno, con la pena accessoria della pub­ blicazione della sentenza di condanna (artt. 35e 38 legge n. 675).

4. MESSAGGI PUBBLICITARI A PROPRI CLIENTI Per effetto del recepimento della direttiva 2002/58/CE sarà peraltro pos­ sibile integrare, nel prossimo futuro, la disciplina sopra illustrata, permettendo a talune società di far conoscere a propri clienti prodotti o servizi analoghi a quelli per i quali si è già stabilito un rapporto, con i medesimi clienti, di vendita di prodotti o servizi. In tali casi, la società titolare del trattamento (dopo aver informato pre­ ventivamente e adeguatamente il cliente) potrà procedere all’invio del mes­ saggio pubblicitario, offrendo però al cliente, in modo chiaro e distinto (sia al momento della raccolta dei suoi dati, sia in occasione di ciascun messaggio) il diritto di rifiutare sin dall’inizio tale uso dei dati o di obiettare, gratuitamente e in maniera agevole, anche successivamente (art. 13, par. 2, direttiva n.

Pag. 49

La tutela della privacy nelle attività di marketing e promozionali

2002/58/CE cit.) 5. MESSAGGI PER CONTO TERZI E ACQUISTO DI BANCHE DATI In alcuni casi portati all’attenzione del Garante, l’invio di messaggi pubblicitari era stato effettuato, per conto di terzi committenti, da società specializzate che utilizzano indirizzi di posta elettronica contenuti in proprie banche dati. Tali società, da considerarsi “titolari” o contitolari del trattamento dei dati a seconda del rapporto che si instaura con il committente e delle modalità di concreta utilizzazione dei dati, sono tenute a rispettare le disposizioni in tema di informativa e specifico consenso, anche per quanto riguarda l’eventuale comunicazione di dati personali ai committenti medesimi e le relative finalità. Ciò comporta un quadro di obblighi e possibili responsabilità anche penali che gli operatori devono verificare con attenzione, anche uando la società specializzata incaricata sia stabilita fuori dell’Unione europea. Dall’esame dei reclami e delle segnalazioni pervenuti al Garante è risulta­ to, altresì, che alcuni dei soggetti che hanno utilizzato la posta elettronica per l’invio di messaggi pubblicitari avevano acquisito da terzi le banche dati con­ tenenti gli indirizzi dei destinatari. In questi casi, chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di infor­ mativa che precisi gli elementi indicati nell’art. 10 della legge n. 675, com­ prensivi di un riferimento di luogo -e non solo di posta elettronica- presso cui l’interessato possa esercitare i diritti riconosciuti dalla legge. 6. DIRITTI DEGLI INTERESSATI Indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei messaggi, chi detiene i dati deve assicurare in ogni caso agli interessati la possibilità di far valere in ogni momento i diritti riconosciuti dalla legge, i quali sono spesso esercitati per conoscere da quale fonte sono stati tratti i dati, o per far interrompere gratuitamente la loro ulteriore utilizzazione ai fini com­ merciali-pubblicitari, oppure per far cancellare i dati trattati in violazione di leg­ ge (art. 13, comma 1, lett. e), della legge). Nel sito Internet del Garante è riportato un modello-tipo per esercitare tali diritti in maniera agevole, gratuitamente e senza particolari formalità, anche verbalmente o mediante posta elettronica, dimostrando la propria identità (art. 17, comma 1, d.P.R. n. 501 del 31 marzo 1998). Tale modello è utilizzabile in luogo di altri reperibili in reti telematiche che non sono pienamente validi in quanto si riferiscono anche ad aspetti non riconosciuti dall’art. 13 della legge n. 675 (ad esempio, chiedono il rilascio di attestazioni o la copia di autorizza­ zioni non previste).

Pag. 50

La tutela della privacy nelle attività di marketing e promozionali

I diritti vanno esercitati sulla base di tale modello direttamente presso l’in­ dirizzo conoscibile del titolare o del responsabile del trattamento, riservando solo ad un’eventuale momento successivo l’instaurazione di una procedura contenziosa dinanzi al Garante o all’autorità giudiziaria. Anche ai fini dell’esercizio di tali diritti, deve ritenersi che l’invio anonimo di messaggi pubblicitari senza l’indicazione di un mittente identificabile con­ creti già oggi un trattamento illecito di dati personali, a prescindere da quanto dispone il citato d.lg. n. 70/2003 sul commercio elettronico (come si è visto, fuori della materia della protezione dei dati personali) e da quanto, in riferi­ mento ai dati personali, sarà previsto con il recepimento della direttiva n. 2002/58/CE (la quale non consente l’invio di messaggi pubblicitari quando l’i­ dentità del mittente viene camuffata o addirittura celata e quando non viene fornito un indirizzo valido che consenta al destinatario di richiedere la cessa­ zione delle comunicazioni: art. 13, par. 4, dir. cit.). I mittenti dei messaggi devono quindi indicare già oggi, in modo chiaro, la fonte di provenienza del messaggio, nonché il soggetto e l’indirizzo –non solo di posta elettronica- presso cui i destinatari possono esercitare i propri diritti (si veda, in proposito, l’art. 10, comma 1, lett. f) della legge n. 675). Appare altresì conforme al principio di correttezza indicare nell’oggetto del messaggio la sua tipologia pubblicitaria-commerciale (art. 9, comma 1, lett. a), legge n. 675). 7. ELENCHI DI POSSIBILI DESTINATARI L’eventuale elenco predisposto da operatori, contenente i nominativi dei sog­ getti che non hanno manifestato il consenso o che lo hanno revocato (c.d. black list) non può essere utilizzato per porre a carico degli interessati, anche indirettamente, un onere di iscrizione nell’elenco medesimo. Come si è illustrato, il consenso ha un connotato autorizzatorio “positivo” in base al quale l’eventuale silenzio dell’interessato omporta il diniego del consenso eventualmente richiesto e non rileva come assenso tacito all’invio dei messaggi. Consta peraltro che alcuni operatori intendono adottare la diversa prassi di redigere anche tramite siti web appositi elenchi di persone che hanno ma­ nifestato il consenso, distinti in base alle diverse categorie di messaggi com­ merciali-pubblicitari che gli interessati hanno acconsentito a ricevere. Tale prassi, se correttamente seguita, può rappresentare una misura utile, sul pia­ no organizzativo, per garantire un più effettivo rispetto della volontà espressa dai singoli. A tale riguardo, costituirà una pratica utile quella di garantire agli interessati la possibilità di inserire direttamente il proprio nome nelle diverse liste o di cancellarlo dalle stesse, magari attraverso un’apposita pagina web, ferma restando l’esigenza di identificarli. 8. E-MAIL PROVENIENTI DALL’ESTERO

Pag. 51

La tutela della privacy nelle attività di marketing e promozionali

Ad alcuni messaggi, in quanto provenienti dall’estero, non è applicabile la leg­ ge italiana sulla protezione dei dati personali. Ciò non comporta l’assoluta mancanza di rimedi o tutela, potendo l’utente chiedere una verifica da parte della competente autorità nazionale di protezio­ ne dei dati personali, ove istituita nel Paese eventualmente individuabile dal messaggio. In altri casi, come quelli relativi alle leggi degli stati federali, l’invio di mes­ saggi pubblicitari di posta elettronica può essere illecito in base alla legge di alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere alle compe­ tenti autorità pubbliche degli stati di valutare la perseguibilità degli illeciti. Va infine tenuto presente che alcune e-mail indesiderate possono essere lo strumento per commettere reati comuni (ad esempio di truffa) che devono considerarsi commessi nel territorio italiano quando, sebbene l’azione è avve­ nuta all’estero, l’evento-reato che ne deriva si è verificato in Italia. Questa Autorità si riserva di valutare la posizione dei singoli fornitori di servizi i cui trattamenti sono stati oggetto di segnalazione, anche alla luce dell’ulteriore documentazione eventualmente pervenuta. In questo quadro, con separati provvedimenti relativi all’esame dei singoli reclami e segnalazioni, si provvederà, oltre alle eventuali trasmissioni di atti all’autorità giudiziaria penale: a) a contestare la violazione amministrativa relativa agli obblighi di in­ formativa di cui all’art. 10 della legge 31 dicembre 1966, n. 675; b) ad avviare il procedimento per l’applicazione delle ulteriori sanzioni amministrative previste dal d.lg. n. 185/1999;
TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre 1996, n. 675, vieta l’ulteriore trattamento illecito di dati personali realiz­ zato a scopi di invio di materiale pubblicitario o di vendita diretta, ovve­ ro per il compimento di ricerche di mercato o di comunicazione com­ merciale interattiva, effettuato in violazione delle disposizioni sopra ri­ chiamate da parte dei soggetti cui si riferiscono le segnalazioni e i re­ clami pervenuti; 2. ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre 1996, n. 675, segnala ai titolari del trattamento di cui agli atti del proce­ dimento la necessità di conformare i trattamenti di dati personali ai principi richiamati nel presente provvedimento. Roma, 29 maggio 2003

Pag. 52

La tutela della privacy nelle attività di marketing e promozionali

IL PRESIDENTE Rodotà IL RELATORE Paissan IL SEGRETARIO GENERALE Buttarelli

Pag. 53

La tutela della privacy nelle attività di marketing e promozionali

Provvedimento 10 giugno 2003, Sms promozionali o di vendita diretta: le regole per il corretto uso GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; VISTE le segnalazioni di utenti che lamentano la ricezione indesiderata di messaggi Sms su apparecchi di telefonia mobile per scopi pubblicitari, di in­ formazione commerciale o di vendita diretta; VISTI la legge 31 dicembre 1996, n. 675 e il decreto legislativo 13 mag­ gio 1998, n. 171, e successive modificazioni ed integrazioni; VISTI gli atti d’ufficio; VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000; RELATORE il dott. Mauro Paissan; PREMESSO: 1. SEGNALAZIONI E RECLAMI PERVENUTI Questa Autorità ha ricevuto reclami e segnalazioni da abbonati a servizi di telefonia mobile e detentori di carte telefoniche (compresi enti, associazioni e persone giuridiche), relativi all’invio illecito, su propri apparecchi mobili, di brevi messaggi di testo del tipo Short message service (Sms) per scopi pro­ mozionali, pubblicitari, di informazione commerciale o di vendita diretta. I casi rappresentati riguardano anche messaggi inviati da chi fornisce il servizio di telefonia mobile, su abbonamento o tramite carta telefonica prepa­ gata, ed invia messaggi di vario tipo ai propri clienti, sia di servizio, sia di pro­ mozione di prodotti e servizi della stessa o di altre società. Altri messaggi sono inviati da ulteriori soggetti che raccolgono in modo diverso i numeri telefonici dei destinatari dei messaggi, ad esempio da utenti e consumatori che richiedono un servizio o una newsletter tramite un sito web o che, al di fuori del settore delle comunicazioni, vengono inseriti in apposite banche dati. I numeri telefonici vengono utilizzati per pubblicizzare prodotti e servizi, propri o di terzi, spesso di tipo promozionale, ma in taluni casi anche per propaganda a favore di associazioni, candidati e forze politiche. A seguito delle segnalazioni e dei reclami ricevuti, il Garante ritiene ne­ cessario adottare un provvedimento di carattere generale, indicando le modi­ ficazioni necessarie per conformare il trattamento di dati alla disciplina vigen­ te.

Pag. 54

La tutela della privacy nelle attività di marketing e promozionali

L’utilizzo degli Sms per le predette finalità è un fenomeno che ha subito di recente notevole espansione anche in ragione della particolare rapidità ed efficacia con cui tale mezzo permette di comunicare in tempo reale con un numero elevato di interessati, ovunque essi si trovino, con una modalità che può essere invasiva e che impiega una serie di dati personali, tra cui il nume­ ro del telefono cellulare strettamente privato e la cui sfera di circolazione re­ sterà rimessa all’interessato anche dopo la prevista formazione del nuovo elenco telefonico generale. La capacità intrusiva dello strumento Sms emerge anche da altre circo­ stanze legate ad esempio agli orari -a volte notturni - in cui tali messaggi sono inviati o ricevuti, nonché da altri disagi derivanti da afflussi consecutivi o da eventuali costi che, attualmente o in futuro, potrebbero derivare dalla loro ricezione, in ipotesi all’estero. Ulteriori fattori di illiceità possono peraltro conseguire dall’alterazione, o dal camuffamento nel messaggio, dell’identità del mittente. Questa Autorità ha fornito recentemente indicazioni con riferimento agli Sms inviati da enti ed uffici pubblici per finalità legate alla propria attività isti­ tuzionale (“Sms istituzionali”), evidenziando le cautele necessarie al fine di adeguarsi alla normativa sull’uso dei dati personali. Indicazioni, queste, alle quali si rinvia per quanto attiene a tale tipologia di messaggi (v. provvedimen­ to del 15 maggio 2003, pubblicato sul sito web www.garanteprivacy.it). 2. SMS INVIATI DA FORNITORI DI SERVIZI DI TELEFONIA MOBILE Il nostro ordinamento assicura una chiara tutela a favore di abbonati e utenti di servizi di telefonia nei confronti delle predette forme di pubblicità e comunicazione, subordinandole al consenso preventivo, libero e informato dell’interessato. Se gli Sms pubblicitari sono inviati direttamente da chi fornisce il servizio di telefonia mobile, il fornitore stesso - salva la commissione di un illecito che può avere rilevanza anche penale - può utilizzare il numero dell’utenza mobile a scopo commerciale solo se l’abbonato ha manifestato previamente il pro­ prio consenso. Il consenso occorre sia se il fornitore pubblicizza mediante Sms un “ser­ vizio” altrui, sia se lo stesso fornitore promuove un “servizio” della propria so­ cietà (art. 4, comma 3, d.lg. n. 171/1998). Il principio opera poi in relazione agli Sms inviati automaticamente dal fornitore ad un ampio numero di abbonati interessati, senza lo specifico inter­ vento diretto di un proprio operatore, come pure per gli Sms inviati caso per caso a singoli abbonati o gruppi di essi. Alla medesima conclusione deve giungersi rispetto agli Sms pubblicitari che il medesimo fornitore invii per promuovere un oggetto diverso da un “ser­ vizio” (in particolare, qualora pubblicizzi un “prodotto” proprio o altrui), oppure

Pag. 55

La tutela della privacy nelle attività di marketing e promozionali

quando si rivolga, con Sms commerciali o pubblicitari, ad utenze collegate a carte telefoniche prepagate: ciò, sia in ragione di quanto disposto dalla legge n. 675/1996 a proposito della raccolta e del successivo trattamento di dati personali (artt. 11 e 12), sia dell’ampia definizione di “abbonato” utilizzata dal legislatore (art. 1 d.lg. n. 171/1998). In base all’indicata legislazione attualmente vigente, e in virtù del presup­ posto del consenso che va espresso liberamente (art. 11 cit.), il fornitore del servizio di telefonia mobile non può poi subordinare la stipula del relativo con­ tratto, o l’attivazione della carta prepagata, alla necessaria prestazione di un consenso alla ricezione di messaggi pubblicitari. Tale ricezione può derivare solo da una scelta dell’abbonato o dell’inte­ statario della carta, espressa liberamente. La scelta, anteriore all’invio dei messaggi, può intervenire anche telefonicamente, purché sia manifestata al fornitore in modo inequivoco e sia comunque da questi documentata per iscritto (conservando una dichiarazione dell’abbonato o dell’intestatario della carta, oppure trascrivendo la dichiarazione di questi ultimi). È da ritenersi quindi illecito l’espediente basato sull’inserimento tra gli ob­ blighi contrattuali di una dichiarazione standard di “impegno” al necessario in­ vio di Sms pubblicitari, e alla loro corrispondente ricezione, in violazione di quanto appena richiamato. È da ritenere parimenti illecito l’espediente volto ad eludere i predetti pre­ supposti, basato sulla prospettazione di alcuni Sms pubblicitari da parte del fornitore come asseriti “messaggi di servizio” alla propria utenza. È infatti ben diversa la situazione in cui il fornitore del servizio di telefonia mobile invii un Sms per rendere doverosamente o legittimamente noti alcuni eventi o novità legati strettamente e necessariamente al servizio prestato (ad esempio, funzionalità del servizio di assistenza o della segreteria telefonica, stato della ricezione dei messaggi o dei pagamenti, blocco della carta), dal caso in cui il messaggio Sms riguardi la vendita di apparecchi telefonici, op­ pure nuove offerte commerciali, servizi aggiuntivi legati alle modalità di ge­ stione dei messaggi, all’offerta di loghi e suonerie, a talune convenzioni con altre società, a raccolte di punti o a concorsi a premio. Tutto ciò assume ulteriore delicatezza se si pensa al fatto che alcuni Sms pubblicitari possono essere inviati - lecitamente o meno - sulla base di una previa verifica della localizzazione dell’apparecchio mobile, oppure della cir­ costanza che l’utente abbia appena digitato determinati numeri o abbia richie­ sto per telefono un servizio. È evidente la necessità di una verifica complessiva e immediata da parte dei fornitori su eventuali inosservanze di legge. In questo quadro, particolari cautele dovranno essere adottate, anche sul piano della correttezza del trattamento dei dati personali, per garantire che gli

Pag. 56

La tutela della privacy nelle attività di marketing e promozionali

Sms pubblicitari non siano inviati arrecando disturbo agli interessati in ore notturne (art. 9, comma 1, lett. a), legge n. 675/1996). 3. SMS INVIATI DA ALTRI SOGGETTI Il principio del “consenso informato” opera anche nel diverso caso in cui gli Sms pubblicitari siano inviati da altri soggetti. Può trattarsi in particolare di ulteriori fornitori di servizi di comunicazione elettronica (es.: gestori di siti web che offrano la possibilità di disporre “gratuitamente” di una casella di posta elettronica o del servizio di invio “gratuito” di Sms tramite p.c.), come pure di soggetti che svolgono attività in altri campi, basate sulla formazione di ban­ che dati di utenti e consumatori, raccolti ad esempio tramite coupon. Tutti questi titolari del trattamento, sia nel caso di utilizzazione dei dati nel proprio esclusivo interesse, sia nel caso – in crescente sviluppo - di invio di Sms per conto terzi, possono inviare anch’essi Sms pubblicitari solo sulla base di una chiara, specifica e preventiva manifestazione di volontà degli in­ teressati. Ciò anche nel caso in cui (come ribadito dal Garante anche nel cita­ to provvedimento in materia di Sms per fini istituzionali), l’Sms venga inviato su richiesta di una pubblica amministrazione che, per divulgare messaggi rite­ nuti di pubblico interesse, si rivolga a una banca dati gestita da privati. Sempre in riferimento a questi casi in cui coloro che inviano Sms pubbli­ citari non prestano direttamente il servizio di telefonia mobile legato all’appa­ recchio cellulare, è necessario rilevare la necessità che il consenso degli inte­ ressati sia “specifico” (art. 11 legge cit.). La manifestazione di volontà deve evidenziare con chiarezza la tipologia degli Sms pubblicitari che possono essere inviati da chi ha raccolto il consen­ so, considerata la tipologia ampia di messaggi i quali possono essere talvolta riferiti ad eventi politici senza che l’interessato ne sia stato consapevole, es­ sendo stato informato in modo generico e avendo sottoscritto una vaga di­ chiarazione di consenso. In caso di prevista cessione di elenchi di numeri telefonici a terzi, finaliz­ zata all’invio degli Sms pubblicitari da parte di questi ultimi, tale circostanza va esplicitata in origine agli interessati, e con precisione, evitando poi di adot­ tare artifizi illeciti ed elusivi come quello della formale (ma sostanzialmente inesistente) designazione dei medesimi terzi quali asseriti “responsabili del trattamento” dei dati personali ai sensi dell’art. 8 della citata legge, specie nei casi in cui i terzi perseguano ben altre finalità. La necessità di estendere la tutela degli interessati contro le descritte in­ terferenze nella sfera privata va considerata, con riferimento al rapporto sot­ tostante al trattamento dei dati personali, anche in base alla normativa sulla protezione dei consumatori nei contratti a distanza. Quest’ultima vieta infatti ai fornitori l’impiego di tecniche di comunicazione quale il telefono, la posta elettronica, il fax e altri sistemi automatizzati di chiamata senza l’intervento di un operatore, in mancanza del consenso preventivo del consumatore. Ciò nel

Pag. 57

La tutela della privacy nelle attività di marketing e promozionali

contesto del rapporto finalizzato alla conclusione del contratto tra fornitore e consumatore ed in relazione a determinati scopi tra i quali vi rientrano anche quelli pubblicitari (art. 10 d.lg. 2 maggio 1999, n. 185). Un discorso a parte va formulato per il caso in cui gli Sms siano inviati da organismi politici o da terzi, a destinatari selezionati in ragione della loro ade­ sione a determinate idee o formazioni politiche: in tal caso, infatti, oltre al con­ senso necessariamente scritto degli interessati, occorre verificare se il tratta­ mento sia lecito in base alle autorizzazioni “generali” al trattamento dei dati sensibili rilasciate dal Garante (e pubblicate, oltre che nella Gazzetta ufficiale della Repubblica italiana, nel menzionato sito web dell’Autorità). 4. GENERAZIONE CASUALE DI NUMERI TELEFONICI Va altresì rilevato che i principi richiamati nel presente provvedimento trovano applicazione anche nei confronti dei soggetti che inviino Sms pubbli­ citari senza estrarre le utenze telefoniche da un’apposita banca dati, bensì sulla base di una composizione casuale o automatizzata di numeri che pre­ scinda da una verifica della loro esistenza o attivazione. 5. TUTELA DEI DIRITTI DEGLI INTERESSATI Gli interessati possono esercitare tutti i diritti previsti dall’art. 13 della leg­ ge n. 675/1996 tra cui spicca il diritto di accedere ai dati trattati dal titolare, di conoscere l’origine dei dati, di chiederne la cancellazione in caso di illecito trattamento, ecc., anche rispetto agli Sms commerciali e pubblicitari, se del caso revocando il consenso già prestato od opponendosi gratuitamente, an­ che in parte, al trattamento dei dati personali per fini di informazione commer­ ciale, di invio di materiale pubblicitario o di vendita diretta, ovvero per il com­ pimento di ricerche di mercato o di comunicazione commerciale interattiva. L’esercizio di tali diritti, a seconda del genere di rapporto contrattuale, è con­ sentito anche quando gli Sms siano inviati nel quadro della fornitura “gratuita” di servizi. Alcune richieste come quelle di accesso ai dati personali o di conoscere come questi sono stati raccolti, possono essere rivolte senza particolari for­ malità, anche verbalmente, ad un servizio di call center documentando la pro­ pria identità (art. 17, commi 1 e 2, d.P.R. n. 501/1998). Per queste e per altre richieste si può consultare il fac-simile Formato PDF Formato Word ripor­ tati sul predetto sito web . 6. CONSIDERAZIONI CONCLUSIVE Sono in fase di definizione i singoli procedimenti per la contestazione di specifiche violazioni amministrative anche in materia di informativa, ove ne ri­ corrano i presupposti, e per trasmettere, se del caso, gli atti all’autorità giudi­ ziaria penale, per la violazione dei richiamati obblighi in materia di informativa e consenso, in relazione a trattamenti illeciti di cui va altresì disposto, in que­ sta sede, un generale divieto ai sensi della disposizione citata nel dispositivo

Pag. 58

La tutela della privacy nelle attività di marketing e promozionali

che segue. Il Garante si riserva di segnalare altri profili una volta completata, a breve termine, l’attuazione della disciplina in itinere sulla formazione degli elenchi della telefonia mobile e per l’esercizio dei diritti degli interessati, nonché quando sarà recepita la direttiva n. 2002/58/CE del Parlamento europeo e del Consiglio, la quale si occupa specificamente degli Sms pubblicitari e inter­ viene su altri aspetti relativi alle chiamate e alle comunicazioni, permettendo peraltro ad alcuni fornitori di adottare un sistema parzialmente diverso limita­ tamente all’offerta a propri clienti di prodotti o servizi analoghi a quelli già pre­ stati. Nel frattempo, tutti i titolari del trattamento interessati devono continuare ad attenersi ai principi richiamati nel presente provvedimento, il cui rispetto è doveroso anche alla luce delle sanzioni amministrative e penali in materia. TUTTO CIÒ PREMESSO IL GARANTE: a) ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre 1996, n. 675, segnala ai fornitori di servizi di telecomunicazione indicati in atti le mo­ dificazioni necessarie indicate in motivazione, al fine di conformare il tratta­ mento dei dati personali ai principi richiamati nel presente provvedimento; b) ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre 1996, n. 675, vieta ogni ulteriore trattamento illecito di dati personali realizzato ai fini di invio di Sms pubblicitari in violazione dei principi medesimi. Roma, 10 giugno 2003 IL PRESIDENTE Rodotà IL RELATORE Paissan IL SEGRETARIO GENERALE Buttarelli

Pag. 59

La tutela della privacy nelle attività di marketing e promozionali

Provvedimento 24 febbraio 2005, Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario genera­ le; Esaminati i reclami e le segnalazioni pervenuti in ordine al trattamento di dati personali raccolti attraverso carte o tessere di "fidelizzazione"; Ritenuta la necessità di prescrivere alcune misure necessarie ed oppor­ tune al fine di rendere il trattamento conforme alle disposizioni vigenti (art. 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali); Vista la documentazione acquisita a seguito degli accertamenti avviati e della consultazione pubblica effettuata; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Gaetano Rasi; PREMESSO 1. La "fidelizzazione" nell'ambito della grande distribuzione Il Garante ha ricevuto reclami e segnalazioni su trattamenti di dati effet­ tuati nell'ambito della crescente utilizzazione di carte o tessere di "fidelizzazio­ ne" volte a creare un rapporto duraturo con la clientela per acquisti e servizi. Gli intestatari delle "carte" usufruiscono di alcuni vantaggi per effetto del­ la titolarità della carta, oppure del genere o volume di spesa o delle prestazio­ ni richieste (ad es., sconti per l'acquisto di prodotti; premi o bonus correlati; priorità; servizi accessori; facilitazioni di pagamento). Le prescrizioni contenute nel presente provvedimento riguardano in ter­ mini generali tutti i tipi di "carte" nel settore della c.d. grande distribuzione, siano esse rilasciate o meno gratuitamente, su supporto cartaceo o elettroni­ co, presso punti-vendita oppure on line, nominativamente ovvero assegnando un codice identificativo, accumulando o meno punti rapportati a spese e ser­ vizi. Il fenomeno ha assunto ampia portata interessando, oltre alla commer­ cializzazione di beni di consumo, la prestazione di servizi nei trasporti, nel credito, nella telefonia, nell'editoria, nel noleggio, ecc. I principi normativi ri­ chiamati in questa sede per la grande distribuzione hanno carattere generale e sono già applicabili in diversi ambiti. Il Garante esamina in questa sede i profili di competenza rilevanti per il trattamento dei dati personali, senza valutare specificamente requisiti pre­

Pag. 60

La tutela della privacy nelle attività di marketing e promozionali

scritti da leggi o regolamenti in altri ambiti (ad es., dal d.P.R. 26 ottobre 2001, n. 430, in materia di concorsi, operazioni a premio e manifestazioni di sorte). Il rilascio delle carte (spesso preceduto dalla compilazione di un modulo di adesione e di un questionario), e la loro utilizzazione (che determina la re­ gistrazione di acquisti di beni e servizi), comportano un trattamento dei dati personali dei clienti e, a volte, dei loro familiari. Accanto a dati anagrafici e recapiti anche di posta elettronica, sono spes­ so raccolte altre informazioni relative al cliente o a suoi familiari, non neces­ sarie per attribuire i vantaggi collegati alla carta (titolo di studio, professione, interessi, abitudini, preferenze, modalità di acquisti, ecc.). Tali informazioni vengono di frequente trattate unitariamente, per finalità diverse che richiedono quindi modalità differenziate; non di rado, è fornita solo un'informativa generica che descrive i trattamenti in modo non adeguata­ mente distinto. Le analisi svolte sulle abitudini e scelte di consumo presentano rischi per gli interessati, anche quando i dati non sono comunicati a terzi. Consumatori, relativi nuclei familiari ed altre persone da essi indicati, ri­ cevendo i vantaggi legati alla fidelizzazione, sono monitorati in dettaglio nei loro comportamenti, vengono profilati anche all'interno di specifiche banche dati centrali o locali e fatti oggetto di raffronto con altri clienti, senza esserne peraltro consapevoli non avendo ricevuto un'adeguata informativa. Si definiscono anche profili individuali o di gruppo (segmenti di clientela con caratteristiche omogenee, c.d. cluster), ovvero propensioni al consumo, senza che gli interessati vi abbiano potuto acconsentire sulla base di informa­ zioni chiare e specifiche. L'acquisto di beni e di servizi può persino determina­ re, in talune circostanze particolari, la raccolta di dati di natura sensibile, il cui trattamento non è di regola consentito per le finalità in esame. A ciò si aggiungono eventuali contatti diretti con la clientela per operazio­ ni di marketing, comunicazioni commerciali o pubblicitarie, vendite dirette o per ricerche di mercato, effettuati da chi rilascia la carta o da terzi. Attesa la crescente diffusione del fenomeno, e a garanzia degli interessa­ ti, il Garante prescrive ai titolari del trattamento di adottare alcune misure ne­ cessarie od opportune al fine di conformare i trattamenti alle vigenti disposi­ zioni in materia di protezione dei dati personali (art. 154, comma 1, lett. c), del Codice). 2. Necessità e proporzionalità Le seguenti prescrizioni sono impartite tenendo conto delle distinzioni re­ lative alle tre principali finalità indicate (fidelizzazione in senso stretto, realiz­ zata attribuendo i vantaggi cui si è fatto cenno; profilazione mediante analisi di abitudini e scelte di consumo; marketing diretto), che rendono necessario diversificare le modalità del trattamento, in particolare per quanto riguarda le

Pag. 61

La tutela della privacy nelle attività di marketing e promozionali

tipologie di dati e la loro conservazione. I trattamenti devono svolgersi rispettando i principi di necessità, liceità, correttezza, qualità dei dati e di proporzionalità (artt. 3 e 11 del Codice). In particolare:
• in applicazione del principio di necessità (art. 3 del Codice), i sistemi informativi e i programmi informatici devono essere configurati, già in ori­ gine, in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi;

nel rispetto del principio di proporzionalità nel trattamento (art. 11, comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle fi­ nalità perseguite.

Come premesso, l'utilizzazione di dati sensibili (art. 4, comma 1, lett. d), del Codice) non è di regola ammessa per alcuna delle finalità indicate, fatta salva l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indi­ spensabile in rapporto allo specifico bene o servizio richiesto e sia stato auto­ rizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. Ciò, vale anche per eventuali ricerche di mercato, sondaggi ed altre ricerche cam­ pionarie (cfr. aut. gen. del Garante n. 5/2004, in G.U. 14 agosto 2004, n. 190). Vanno a questo punto indicate le modalità di attuazione di questi principi in rapporto alle diverse finalità. 3. Finalità di "fidelizzazione" in senso stretto Possono essere trattati esclusivamente i dati necessari per attribuire i vantaggi connessi all'utilizzo della carta. Si tratta:
• dei dati direttamente correlati all'identificazione dell'intestatario del­ la carta, quali le informazioni anagrafiche; • dei dati eventualmente relativi al volume di spesa globale progres­ sivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli pro­ dotti), nella misura in cui sia realmente necessario trattarli -e in partico­ lare conservarli- per attribuire i vantaggi medesimi, e per il tempo a ciò strettamente necessario. L'eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria spe­ cie se si persegue la sola finalità di "fidelizzazione"; nei casi particolari in cui essa è lecita, deve essere rispettato il principio di proporzionali­ tà.

Pag. 62

La tutela della privacy nelle attività di marketing e promozionali

4. Finalità di "profilazione" della clientela L'attività di profilazione riguardante singoli individui o gruppi può essere svolta, in diversi casi, disponendo solo di dati anonimi o non identificativi (ad esempio, un codice numerico), senza una relazione tra i dati che permettono di individuare gli interessati e le indicazioni analitiche relative alla loro sfera personale (gusti, preferenze, abitudini, bisogni e scelte di consumo). Se la fi­ nalità può essere perseguita con tali modalità (specie per quanto riguarda la profilazione della clientela per categorie omogenee), non è lecito utilizzare -e tanto meno conservare- dati personali o identificativi. Negli altri casi, le informazioni che si intende acquisire (sia all'atto dell'a­ desione del cliente all'iniziativa, sia per effetto dell'eventuale registrazione di singoli beni e servizi accessori), e le modalità del loro trattamento, devono es­ sere pertinenti e non eccedenti rispetto alla tipologia dei beni commercializzati o dei servizi resi. Il principio di proporzionalità va osservato anche per quanto riguarda l'e­ ventuale intenzione di registrare le informazioni in banche di dati, tanto più se centrali. Inoltre, queste ultime non devono essere interconnesse -o fonte di intrecci e raffronti di dati- con quelle utilizzate per la fidelizzazione in senso stretto. Per quanto concerne i dati sensibili va rilevato, oltre a quanto già richia­ mato, che non è lecito utilizzare a fine di profilazione dati idonei a rivelare la stato di salute e la vita sessuale (cfr. autorizzazioni generali del Garante nn. 2 e 5/2004, in G.U. 14 agosto 2004, n. 190). 5. Finalità di "marketing" diretto Possono essere raccolti ed utilizzati i dati pertinenti e non eccedenti per l'invio di materiale pubblicitario -anche attraverso riviste di settore- o di comu­ nicazioni commerciali o per la vendita diretta. Si tratta, di regola, dei soli dati direttamente correlati all'identificazione dell'intestatario della carta o di suoi fa­ miliari, ovvero di persone da esso indicate. L'eventuale utilizzazione di dati personali derivanti dalla profilazione deve essere oggetto di un consenso dif­ ferenziato dei diretti interessati. 6. Informativa agli interessati Prima del conferimento dei dati e del rilascio della carta deve essere for­ nita al cliente un'informativa chiara e completa, al fine di consentire un'ade­ sione pienamente consapevole alle iniziative proposte. Nel rispetto del principio di correttezza (art. 11, comma 1, lett. a), del Co­ dice), non sono consentiti comportamenti suscettibili di incidere sulle scelte li­ bere e consapevoli del cliente nell'adesione ai "programmi di fidelizzazione". Nello svolgimento delle operazioni preordinate al rilascio della "carta", non è corretto indurre il cliente ad aderire al programma senza aver avuto le

Pag. 63

La tutela della privacy nelle attività di marketing e promozionali

spiegazioni e il tempo necessari per essere previamente informati e maturare un consenso consapevole riguardo ai dati da fornire, specie in ordine alla pro­ filazione o al marketing (come potrebbe ad esempio accadere sollecitando una rapida sottoscrizione mentre il cliente è in fila alla cassa senza un esame preventivo di un'informativa). L'informativa può utilizzare formule sintetiche e colloquiali, purché chiare e inequivoche; deve contenere comunque tutti gli elementi richiesti dal Codi­ ce (art. 13, comma 1). Non sono consentiti generici rinvii a regolamenti di servizio non acclusi per le parti di riferimento. L'informativa inserita all'interno di moduli deve esse­ re adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, ed essere così agevolmente individuabile rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a mar­ gine. In particolare, devono essere poste in distinta e specifica evidenza le ca­ ratteristiche dell'eventuale attività di profilazione e/o di marketing, come pure l'intenzione di cedere a terzi specificamente individuati i dati per finalità da in­ dicare puntualmente. Deve risultare parimenti chiara la circostanza che, per questi scopi, il conferimento dei dati e il consenso sono liberi e facoltativi rispetto alle ordina­ rie attività legate alla fidelizzazione in senso stretto. 7. Adesione al "programma di fidelizzazione" e consenso al trattamento Per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi occorre di regola accettare condizioni generali di contratto predisposte dal titolare del trattamento (di regola, lo stesso emittente della "carta"). Poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto è "necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato" non è corretto, in questo caso, sollecitare il consenso al tratta­ mento dei dati (art. 24, comma 1, lett. b), del Codice). Ogni altra finalità di trattamento (profilazione e ricerche di mercato da un lato; marketing dall'altro) che comporti l'identificabilità degli interessati neces­ sita, invece, del loro consenso specifico, informato e distinto per ciascuna di esse (art. 23 del Codice). Il consenso deve essere quantomeno documentato per iscritto a cura del titolare del trattamento, ovvero reso necessariamente per iscritto dall'interessato nel caso di dati sensibili. L'eventuale accettazione per iscritto delle clausole del regolamento di servizio deve essere distinta dalle formule utilizzate per ciascuna di queste due manifestazioni di libero consenso. L'adesione all'iniziativa di fidelizzazio­ ne non può essere condizionata alla manifestazione di tale consenso. Non è quindi lecito raccogliere un consenso generale ricorrendo ad una generica dichiarazione, comprendendo anche i casi in cui il consenso non è

Pag. 64

La tutela della privacy nelle attività di marketing e promozionali

necessario o a prescindere dalle finalità perseguite. Per alcune forme di comunicazione mediante posta elettronica, fax, siste­ mi automatizzati di chiamata e messaggi del tipo Mms o Sms o di altro tipo, la necessità del consenso deriva anche da apposite disposizioni in tema di co­ municazioni indesiderate o di vendite a distanza, le quali prevedono, altresì, regole particolari per l'offerta di servizi analoghi tramite posta elettronica (art. 130 del Codice; art. 10 d.lg. n. 185/1999). E' opportuno che copia della docu­ mentazione attestante l'informativa fornita e il consenso eventualmente pre­ stato sia rilasciata all'interessato, per consentirgli di verificare in ogni momen­ to le proprie scelte e di modificarle. 8. Tempi di conservazione In applicazione del menzionato principio di proporzionalità, va prescritta ai titolari del trattamento l'identificazione di termini massimi di conservazione dei dati da osservare presso banche dati sia centrali, sia locali. Tale identificazione va effettuata dopo aver esaminato la possibilità di raccogliere e conservare dati nei termini consentiti per ciascuna delle finalità sopradescritte, tenendo conto di eventuali scelte degli interessati sopravve­ nute. Il principio da osservare è quello secondo cui i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono stati trattati devono essere cancellati o trasformati in forma anonima (art. 11, com­ ma 1, lett. e), del Codice). In ogni caso, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a venti­ quattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del Codice. Nel caso di eventuale ritiro, disabilitazione per mancato utilizzo entro un determinato arco temporale, scadenza o restituzione della carta, deve essere individuato un termine di conservazione dei dati personali per esclusive finali­ tà amministrative (e non anche di profilazione o di marketing), non superiore ad un trimestre (fatti salvi eventuali specifici obblighi di legge sulla conserva­ zione di documentazione contabile). Occorre specificare questi aspetti nell'in­ formativa e predisporre idonei meccanismi di cancellazione automatica dei dati anche da parte di terzi cui gli stessi siano stati eventualmente comunicati (specie per la profilazione o di marketing). 9. Notificazione del trattamento e misure di sicurezza

Pag. 65

La tutela della privacy nelle attività di marketing e promozionali

Restano fermi, in aggiunta alle prescrizioni del presente provvedimento, gli obblighi che il Codice detta ai titolari del trattamento. Ci si riferisce, in particolare: a) all'obbligo di notificazione al Garante dei trattamenti effettuati me­ diante l'ausilio di strumenti elettronici volti a definire profili di consumatori o ad analizzarne abitudini e scelte in ordine ai prodotti acquistati (artt. 37, comma 1, lett. d), e 163 del Codice); b) agli obblighi relativi all'adozione delle misure anche minime di sicu­ rezza (artt. 31-35 e Allegato B) del Codice; c) alla selezione dei soggetti che, in qualità di incaricati o responsabili del trattamento, sono autorizzati a compiere operazioni di trattamento sulla base dei compiti assegnati e delle istruzioni impartite (artt. 29 e 30 del Codi­ ce); d) all'obbligo dei titolari del trattamento di adottare le misure necessa­ rie per agevolare l'esercizio dei diritti degli interessati e il relativo riscontro tempestivo (art. 10, comma 1, del Codice), con particolare riferimento alle concrete notizie da fornire in caso di richiesta di spiegazioni sulle finalità e modalità del trattamento (art. 7, comma 2, lett. b)) o di opposizione al tratta­ mento. In questo quadro, è necessario che: 1. i dati eventualmente trattati a fini di profilazione o di ricerche di mercato siano conservati con adeguate modalità che portino a limitare l'ambito di circolazione dei dati allo stretto indispensabile, circoscriven­ do qualitativamente e quantitativamente il numero di addetti aventi eventuale accesso alle informazioni; 2. sia escluso l'uso di sistemi e programmi che permettano, fuori dei casi consentiti, una ricostruzione organica di scelte, comportamenti e profili di interessati identificabili non soggetta alle previe valutazioni di questa Autorità ai sensi dell'art. 17 del Codice; 3. non si eludano, attraverso la preposizione di soggetti esterni quali re­ sponsabili del trattamento, le richiamate garanzie in tema di comunicazione e conservazione dei dati e di trasparenza nell'informativa riguardo alle finalità e ai soggetti che le perseguono; 4. si pongano a disposizione degli interessati, anche nell'informativa, specifici recapiti, anche di posta elettronica, per un agevole esercizio dei dirit­ ti. 10. Informazioni al Garante Ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, i titolari del trattamento indicati negli atti di procedimenti pendenti presso l'Ufficio sono invitati a confermare al Garante, entro e non oltre il 15 maggio 2005, che i

Pag. 66

La tutela della privacy nelle attività di marketing e promozionali

trattamenti di dati da essi effettuati sono conformi alle prescrizioni del presen­ te provvedimento, indicando ogni informazione utile al riguardo ed allegando la pertinente documentazione. TUTTO CIÒ PREMESSO, IL GARANTE prescrive ai titolari di trattamenti di dati personali oggetto del presente provvedimento, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adotta­ re le misure necessarie ed opportune ivi indicate al fine di rendere i tratta­ menti medesimi conformi alle disposizioni vigenti. Roma, 24 febbraio 2005 IL PRESIDENTE Rodotà IL RELATORE Rasi IL SEGRETARIO GENERALE Buttarelli

Pag. 67

La tutela della privacy nelle attività di marketing e promozionali

Provvedimento 12 ottobre 2005, Informativa e consenso – Biglietti online e marketing: indicazione del garante IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi­ dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Pais­ san e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarel­ li, segretario generale; ESAMINATA la segnalazione presentata da Enrico Aliberti nei confronti di "Torino Organising Commitee XX Olympic Winter Games" (Toroc); ESAMINATE le deduzioni svolte da Toroc nelle comunicazioni del 12 maggio 2005 e 22 settembre 2005; VISTA la documentazione in atti; VISTO l'art. 154, comma 1, lett. b) e c), del Codice in materia di protezio­ ne dei dati personali (d.lg. 30 giugno 2003, n. 196); VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Francesco Pizzetti; PREMESSO 1. Dopo aver prenotato l'acquisto di biglietti per assistere agli eventi "Gio­ chi Torino 2006", il sig. Enrico Aliberti ha sottoposto all'attenzione del Garante la circostanza di aver dovuto prestare il proprio consenso al trattamento dei dati personali a sé riferiti, con un'unica dichiarazione atta non solo a renderne possibile l'utilizzazione ai fini dell'esecuzione del contratto (in particolare, l'ac­ quisto e il recapito dei biglietti), ma altresì idonea ad autorizzare il persegui­ mento della diversa finalità di marketing. A seguito di tale segnalazione questa Autorità ha svolto autonomi accer­ tamenti ed ha richiesto ulteriori informazioni a "Torino Organising Commitee XX Olympic Winter Games" (Toroc) –operando detto soggetto in qualità di ti­ tolare del trattamento (sia con riguardo alla vendita operata grazie alla socie­ tà Ticketone, sia rispetto a quella realizzata tramite il sito web all'indiriz­ zo http://www.torino2006.org)– in relazione alle operazioni di trattamento svolte nell'ambito del servizio di biglietteria per la partecipazione agli eventi "Giochi Torino 2006", con particolare riferimento ai profili relativi all'acquisizio­ ne del consenso e all'informativa resa agli interessati. 2. Le risultanze istruttorie hanno confermato la qualità di titolare del trat­ tamento in capo a Toroc per quanto attiene allo svolgimento dei servizi di bi­ glietteria: ciò si evince dai modelli nei quali era resa l'informativa unitamente alla raccolta del consenso e non è contestato nelle comunicazioni del Toroc.

Pag. 68

La tutela della privacy nelle attività di marketing e promozionali

È altresì emerso che sia nei modelli utilizzati dalla società Ticketone, sia in quelli resi disponibili nel sito web sopra richiamato, viene richiesto il con­ senso dell'interessato per "l'adempimento della Sua richiesta scritta di preno­ tazione/acquisto dei biglietti relativi agli eventi previsti nell'ambito dei Giochi Torino 2006". Inoltre, nel modello di raccolta del consenso utilizzato da Ticketone, alla formula appena indicata viene associata, sottoponendola ad un'unica accetta­ zione da parte dell'interessato, anche l'autorizzazione al compimento di attivi­ tà pubblicitarie o comunque promozionali da parte del Toroc. La relativa infor­ mativa, resa succintamente, può essere visionata nella sua versione integrale solo accedendo ad un testo disponibile on-line all'indirizzo web www.tori­ no2006.org/tickets al quale è fatto espressamente rinvio nel modello utilizzato dal rivenditore (che peraltro "viene trattenuto presso il punto vendita"). In relazione, invece, al modello di raccolta dei dati presente nel sito web da compilarsi in occasione della prenotazione/acquisto del biglietto, gli accer­ tamenti effettuati evidenziano la "preselezione" (che appare automaticamente in occasione della compilazione del form) delle caselle nelle quali viene reso il consenso non solo per l'esecuzione degli obblighi contrattuali, ma anche per finalità ulteriori e distinte rispetto a questa, ed in particolare per le finalità pub­ blicitarie o comunque promozionali. In entrambi i modelli sopra richiamati è altresì prevista la possibilità di fare uso di particolari tecniche di comunicazione, quali la posta elettronica o l'utenza di telefonia mobile, ai fini di invio di materiale pubblicitario o promo­ zionale da parte del Toroc (o di terzi). 3. Alla luce della documentazione acquisita e tenuto conto delle osserva­ zioni formulate dal Toroc (nelle comunicazioni del 12 maggio 2005 e 22 set­ tembre 2005), questa Autorità ravvisa taluni profili di violazione della discipli­ na vigente in relazione al trattamento dei dati personali effettuato nell'ambito del servizio di biglietteria e pertanto, ai sensi dell'art. 154, comma 1, lett. c), del Codice intende prescrivere con il presente provvedimento le misure ne­ cessarie al fine di rendere i trattamenti di seguito indicati conformi alle dispo­ sizioni contenute nel Codice. In particolare, al di là della possibilità di prescindere dalla richiesta del consenso nella modellistica della quale Toroc si avvale per la "prenotazione/acquisto dei biglietti relativi agli eventi previsti nell'ambito dei Giochi Torino 2006" –atteso il contenuto dell'art. 24, comma 1, lett. b) del Co­ dice–, profili di illiceità emergono, per ragioni diverse, rispetto alla formulazio­ ne del consenso e della connessa informativa (aspetti non di rado strettamen­ te collegati, come pure si è evidenziato nel provvedimento a carattere gene­ rale del 13 gennaio 2000, in Boll. n. 11-12/2000, p. 39, 43, con riferimento al­ l'effetto di un'informativa incompleta sul consenso).

Pag. 69

La tutela della privacy nelle attività di marketing e promozionali

3.1. Con specifico riguardo al modello di raccolta del consenso utilizzato da Ticketone, diversamente da quanto sostenuto dal Toroc –secondo cui "solo previa espressione di uno specifico consenso da parte [dell'utente] i dati potranno essere utilizzati per finalità di comunicazioni commerciali […]" (co­ municazione del 12.5.05, p. 4; analogamente nella comunicazione del 22.9.05, p. 5, punto c)–, il consenso per il perseguimento di finalità di marke­ ting non è distinto (come si è fatto rilevare sopra al punto 2) da quello (pur non necessario, come si è appena precisato) prestato per il conferimento dei dati necessari a dare esecuzione al rapporto contrattuale. Ne deriva che l'autorizzazione al trattamento dei dati per finalità di marke­ ting non soddisfa i requisiti posti dal legislatore, secondo il quale il "consenso è validamente prestato solo se è espresso liberamente e specificamente in ri­ ferimento ad un trattamento chiaramente individuato" (art. 23, comma 3, del Codice): nel caso di specie, infatti, non può definirsi "libero", ma necessitato, il consenso al trattamento dei dati personali che l'interessato "deve" prestare (aderendo a un testo predisposto unilateralmente dalla controparte contrat­ tuale) quale condizione per il conseguimento della prestazione richiesta. In tal modo, infatti, i dati personali, lecitamente raccolti dal titolare (e conferiti dal­ l'interessato) per il perseguimento di una determinata finalità (l'esecuzione del rapporto contrattuale), vengono di fatto piegati ad un utilizzo diverso dallo scopo originario che ne aveva giustificato la raccolta, in violazione del princi­ pio di finalità (art. 11, comma 1, lett. b), del Codice). A questo proposito merita rilevare in via incidentale che, nel corso del procedimento, Toroc ha rappresentato l'intenzione (chiaramente desumibile dall'affermazione riportata in calce all'allegato II, comunicazione Toroc del 12 maggio 2005) di apportare alcune modifiche al testo dell'informativa attual­ mente resa alla clientela, con l'inserimento della seguente frase: "Il mancato consenso al trattamento dei dati per fini commerciali o un rifiuto di rispondere non avrà alcuna conseguenza sul suo acquisto". Con riguardo, poi, all'informativa resa, è altresì preferibile (come già so­ stenuto nel Provv. 13 gennaio 2000, in Boll. n. 11-12/2000, p. 42) che gli ele­ menti della stessa compaiano in un unico contesto –salvo che, anche ai sensi e per gli effetti della disposizione contenuta nell'art. 13, comma 3 del Codice, esigenze di spazio consiglino o impongano di ricorrere a soluzioni alternative (quale, ad esempio, quella prefigurata dal Toroc di affiggerne il testo presso il punto vendita: cfr. allegato II, comunicazione 12 maggio 2005)– evitando, in armonia con il principio di correttezza (art. 11, comma 1, lett. a) del Codice), un'eccessiva frammentazione dei vari elementi della medesima, come attual­ mente risultanti dal descritto rinvio ad un testo presente all'indirizzo web www.torino2006.org/tickets. Ulteriori profili di difformità rispetto alla disciplina di protezione dei dati personali emergono, poi, in relazione alla mancata informativa resa alla clien­ tela circa la "natura obbligatoria o facoltativa del conferimento dei dati" (dovu­

Pag. 70

La tutela della privacy nelle attività di marketing e promozionali

ta ai sensi dell'art. 13, comma 1, lett. b) del Codice), in grado di inficiare an­ che da questo punto di vista il consenso dell'interessato (per analogo rilievo v. già Provv. 28 maggio 1997, in Boll. 1/1997, p. 11, 12). Affinché il trattamento di dati personali sia legittimo è quindi necessario – salvo che ricorrano le circostanze previste dall'art. 24 del Codice– che il con­ senso dell'interessato possa essere autonomamente prestato per ciascuna distinta finalità perseguita dal titolare del trattamento (come peraltro già affer­ mato, con riguardo ai trattamenti di dati personali effettuati nell'ambito dei programmi di fidelizzazione, nel Provv. del 24 febbraio 2005, consultabile in http://www.garanteprivacy.it) e che l'informativa, resa in un unico contesto, contenga tutte le informazioni previste dall'art. 13 del Codice. 3.2. Con specifico riguardo al modello di raccolta del consenso reso di­ sponibile sul sito web, per quanto (diversamente dal caso appena esaminato) siano chiaramente distinte le finalità per le quali il trattamento dei dati perso­ nali viene effettuato (segnatamente, quelle relative all'esecuzione del contrat­ to e quelle relative alla finalità di marketing), il consenso dell'interessato non è prestato "liberamente", atteso che (come descritto sopra e confermato nel te­ sto inviato dal Toroc nell'allegato 2, comunicazione del 22 settembre 2005) sono "preselezionate", anziché lasciate alla libera scelta dell'utente, le distinte opzioni relative al trattamento di dati personali connesse all'esecuzione del rapporto contrattuale e allo svolgimento di attività di comunicazione commer­ ciale. È dunque necessario che i sistemi informativi del sito web vengano confi­ gurati in modo da consentire all'interessato di esplicare pienamente il proprio diritto all'autodeterminazione informativa, prevedendo opzioni di tipo "positivo" (mediante l'inserimento di caselle da selezionare e non preselezionate su una delle possibili scelte), sì da consentire all'utente di esprimere liberamente la propria scelta in ordine alle finalità legittimamente perseguibili da parte del ti­ tolare del trattamento (cfr. pure Provv. 13 gennaio 2000, in Boll. n. 1112/2000, p. 43). 3.3. Entrambi i modelli prevedono altresì, a vantaggio del Toroc, la possi­ bilità di fare uso anche di particolari canali per veicolare le comunicazioni commerciali, quali la posta elettronica o l'utenza del telefono cellulare. Preci­ sato che, qualora si intenda fare uso di tali forme di comunicazione –salvo quanto previsto all'art. 130, comma 4 del Codice, che contiene regole partico­ lari per l'offerta di taluni servizi tramite posta elettronica– è posto in capo al ti­ tolare del trattamento l'obbligo di acquisire il preventivo consenso dell'interes­ sato (artt. 130 del Codice e 10 d.lg. 22 maggio 1999, n. 185), il medesimo art. 130, comma 4, richiede che questi, al momento della raccolta dei dati (e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finali­ tà), sia "informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente". Tale avviso non ricorre nei modelli utiliz­ zati dal Toroc: è dunque necessario che questi ultimi vengano integrati con

Pag. 71

La tutela della privacy nelle attività di marketing e promozionali

tale avvertenza. 4. Anche con riguardo ai dati personali raccolti nel sito web www.tori­ no2006.org, per una diversa finalità, vale a dire l'invio di una o più newsletter, l'informativa resa ("I dati saranno trattati secondo quanto previsto dalla legge 675/96 a tutela della riservatezza dei dati personali") evidenzia, sotto diversi aspetti, profonde carenze: al di là dell'erroneo riferimento alla disciplina di protezione dei dati personali ormai abrogata, la formulazione utilizzata si at­ teggia a mera clausola di stile nella quale larga parte delle informazioni richie­ ste dall'art. 13 del Codice risultano mancanti (eccettuata la finalità del tratta­ mento, consistente nell'invio della newsletter, che si evince indirettamente dal contesto nel quale i dati vengono raccolti). Anche a questo proposito è infine necessario che l'informativa (e la relati­ va manifestazione di consenso dell'interessato) vengano integrate in confor­ mità alla previsione contenuta nell'art. 13 del Codice. PER QUESTI MOTIVI IL GARANTE: prescrive al Toroc, ai sensi dell'art. 154, comma 1, lett. c), del Co­ dice, di adottare le misure necessarie ed opportune indicate nel pre­ sente provvedimento al fine di rendere i trattamenti di dati personali conformi alle disposizioni vigenti, apportando le necessarie modifiche alla documentazione descritta e tenendo conto del fatto che, limitata­ mente al perseguimento delle finalità di comunicazione pubblicitaria o promozionale, non potranno essere utilizzate, ai sensi dell'art. 11, com­ ma 2 del Codice, le dichiarazioni di consenso al trattamento dei dati già formulate dagli interessati, ferma restando, quindi, l'utilizzabilità dei dati per la finalità di acquisto e recapito dei biglietti;

prescrive, altresì, ai sensi degli artt. 154, comma 1, lett. c), e 157 del Codice di trasmettere al Garante un esemplare dei modelli riformu­ lati in conformità delle predette prescrizioni entro il 30 novembre 2005.

Roma, 12 ottobre 2005 IL PRESIDENTE Pizzetti IL RELATORE Pizzetti IL SEGRETARIO GENERALE Buttarelli

Pag. 72

La tutela della privacy nelle attività di marketing e promozionali

Provvedimento 23 novembre 2006, Fax promozionali senza il preventivo consenso dell'interessato IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi­ dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Pais­ san e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarel­ li, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giu­ gno 2003, n. 196, di seguito "Codice"); VISTA la segnalazione del 13 settembre 2005, con la quale i signori Luigi Michelini, Luigi Compagnoni e Giuseppe Greco, in qualità di legali rappresen­ tanti degli studi di consulenza per il trasporto Michelini s.r.l., Agenzia Credit e Agenzia Upam, hanno lamentato la ricezione di numerosi fax indesiderati pro­ venienti dal consorzio I.S.A.Co., allegati alla segnalazione medesima; RILEVATO dagli atti che il consorzio I.S.A.Co. pubblicizza in tali fax pro­ pri servizi e iniziative a studi di consulenza per il trasporto, e propone loro di associarsi al consorzio medesimo; RILEVATO che allo stato non risulta (sia dalla segnalazione, sia dal ri­ scontro che il consorzio ha fornito alle richieste degli interessati, nonché dalla nota del 17 gennaio 2006 che il consorzio stesso ha inviato all'Autorità in ri­ sposta ad una richiesta di elementi ai sensi dell'art. 157 del Codice) che l'inol­ tro dei reiterati messaggi promozionali mediante telefax sia basato sul previo consenso specifico dei relativi destinatari; VISTA, altresì, l'ulteriore segnalazione del 27 ottobre 2006 con la quale i predetti signori Michelini e Compagnoni hanno lamentato nuovamente la rice­ zione di ulteriori fax promozionali da parte del consorzio I.S.A.Co. in data 17 ottobre 2006, aventi analogo contenuto promozionale; RILEVATO che l'art. 130, comma 2, del Codice prescrive, per l'invio di materiale pubblicitario mediante telefax, l'acquisizione di un consenso infor­ mato, specifico e preventivo dell'interessato (v., in applicazione della medesi­ ma disposizione, i provvedimenti del Garante del 29 maggio 2003 -relativo allo spamming- e del 10 giugno 2003 -relativo agli sms promozionali- in www.garanteprivacy.it, doc. web. nn. 29840 e 29836); CONSIDERATO che l'invio di messaggi promozionali mediante telefax senza il prescritto consenso configura, quindi, un trattamento illecito di dati; CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

Pag. 73

La tutela della privacy nelle attività di marketing e promozionali

RILEVATA la necessità di vietare il trattamento ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, considerato che l'invio di messaggi promozionali per mezzo del telefax in assenza del necessario consenso dei destinatari degli stessi risulta, dagli atti, reiterato dal consorzio I.S.A.Co., contrariamente a quanto dallo stesso dichiarato al Garante nella ri­ sposta alla menzionata richiesta di elementi ai sensi dell'art. 157 del Codice; RISERVATA, con autonomo provvedimento, la contestazione in separata sede della violazione amministrativa concernente l'informativa agli interessati (artt. 13, comma 4 e 161 del Codice); RISERVATA, altresì, l'adozione di ogni altro atto e provvedimento all'esi­ to di ulteriori accertamenti preliminari; TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque, es­ sendovi tenuto, non osserva il presente provvedimento è punito con la reclu­ sione da tre mesi a due anni; CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati perso­ nali non possono essere utilizzati; VISTA la documentazione in atti; VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000; Relatore il dott. Giuseppe Chiaravalloti; TUTTO CIÒ PREMESSO IL GARANTE: ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta il trattamento dei dati personali effettuato mediante utilizzo del telefax per inviare comunicazioni pubblicitarie senza il preventivo consenso specifico ed informato degli interessati, nei confronti del consorzio I.S.A.Co. e di ogni altro soggetto che, in sede di comunicazione del presente provvedi­ mento e di correlati accertamenti preliminari risulti eventualmente titolare o contitolare del trattamento dei dati in questione. Ciò, con effetto dalla data di notificazione del presente atto presso la sede, residenza o domicilio risultanti dagli atti o comunque accertati dall'organo notificante. Roma, 23 novembre 2006 IL PRESIDENTE Pizzetti IL RELATORE Chiaravalloti IL SEGRETARIO GENERALE

Pag. 74

La tutela della privacy nelle attività di marketing e promozionali

Buttarelli

Pag. 75

La tutela della privacy nelle attività di marketing e promozionali

Provvedimento 7 dicembre 2006, Raccolta di dati personali in strutture neonatali a fini di marketing IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi­ dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Pais­ san e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarel­ li, segretario generale; VISTA la normativa comunitaria e nazionale in materia di protezione dei dati personali (Codice in materia di protezione dei dati personali approvato con d.lg. n. 30 giugno 1996, n. 196; direttiva comunitaria 95/46/Ce del 24 ot­ tobre 1995), anche previgente (l. 31 dicembre 1996, n. 675; d.lg. 28 dicembre 2001, n. 467); VISTE le segnalazioni dei coniugi YX relative all'utilizzo dei dati personali di uno di essi e dei figli neonati, al fine dell'invio di materiale editoriale da par­ te di Sfera Editore S.p.a.; VISTI gli elementi acquisiti a seguito degli accertamenti avviati presso Sfera Editore S.p.a. e delle successive deduzioni formulate dalla stessa, non­ ché degli ulteriori accertamenti effettuati nei confronti dei c.d. "promotori" che collaborano con tale società; VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il dott. Giuseppe Fortunato; PREMESSO 1. Raccolta di dati personali per finalità di marketing presso strutture sa­ nitarie neonatali 1.1. Con nota inviata a Prenatal S.p.a. e Sfera Editore S.p.a. (di seguito, "Prenatal" e "Sfera"), e per conoscenza al Garante, YX ha contestato l'invio della pubblicazione "Nuova generazione" edita da Sfera (che invita a visitare il sito web dell'altra società), affermando che non era stato prestato alcun consenso alla società in ordine al trattamento dei dati dei componenti della propria famiglia. Contestualmente, il segnalante ha esercitato nei confronti delle menzionate società i diritti di cui all'art. 13 della legge n. 675/1996 chie­ dendo, in particolare, di conoscere la natura, la tipologia e l'origine dei dati raccolti, nonché la loro cancellazione. In riscontro a tali richieste del 30 giugno 2000, le società hanno comuni­ cato al segnalante (Sfera, con comunicazione del 27 luglio 2000; Prenatal, con nota del 9 agosto 2000), e per conoscenza al Garante, di aver detenuto nei propri data-base, e poi cancellato, i dati relativi alla sig.a YW, moglie del segnalante, e quelli del figlio YZ.

Pag. 76

La tutela della privacy nelle attività di marketing e promozionali

In presenza di ulteriori istanze del segnalante e della richiesta di informa­ zioni dell'Autorità dell'11 aprile 2001 (ai sensi dell'art. 32, comma 1, l. n. 675/1996), con proprie comunicazioni dell'11 maggio 2001 e del 18 maggio 2001, Sfera dichiarava al Garante di aver: a) cancellato i dati relativi alla sig.a YW e al figlio YZ, nato il YK, con­ cernenti l'abbonamento gratuito alla rivista "Io e il mio bambino" edita da Sfe­ ra; b) acquisito tali dati attraverso una cartolina postale ricevuta e regi­ strata il 1° agosto 1999 (comunicata in copia all'Autorità), contenente un mo­ dello di informativa ai sensi dell'art. 10 della legge n. 675/1996 e una richiesta di consenso dell'interessato del seguente tenore: "se non desideri ricevere successivi invii di campioni gratuiti e di informazioni scientifiche o commercia­ li, contrassegna con X la casella"; c) comunicato i dati a Prenatal, quale inserzionista della rivista, non­ ché ad altre società designate quali responsabili del trattamento. 1.2. Il 18 gennaio 2002, in occasione della nascita del secondo figlio, i coniugi YX hanno segnalato al Garante di aver ricevuto ulteriore materiale editoriale proveniente da Sfera, rinnovando le proprie richieste volte a cono­ scere la natura, la tipologia e l'origine dei dati e chiedendone nuovamente la cancellazione. Nella risposta del 29 gennaio 2002 inviata ai segnalanti e per conoscen­ za al Garante, Sfera dichiara di aver utilizzato per l'invio del materiale promo­ zionale di cui sopra i dati precedentemente raccolti in quanto, "pur essendo stati cancellati, [i medesimi] sono presenti nel […] data base storico con l'an­ notazione della […] volontà [dei segnalanti] di non essere contattati". Nella medesima comunicazione Sfera, con l'intento di giustificare il pro­ prio comportamento, sosteneva che "la nascita di un figlio è un fatto inevita­ bilmente pubblico" e che a tale pubblicità contribuiscono gli stessi genitori che "annunciano l'evento ponendo un fiocco sulla porta di casa" o diffondono il nome del nato attraverso la stampa locale, asserendo così che, "salvo casi particolari, la nascita non è pertanto un dato personale sul quale possa pre­ sumersi una situazione di segretezza o di riservatezza tale da inibirne in modo assoluto la comunicazione e, addirittura, la diffusione". La società affer­ mava di voler svolgere indagini più approfondite sull'invio del materiale non ri­ chiesto, ma l'esito di tali asseriti accertamenti non è stato comunicato al Ga­ rante. 1.3. Considerata l'inidoneità degli elementi forniti da Sfera in ordine alla li­ ceità del trattamento, il Garante ha disposto, con deliberazione 24 giugno 2003, n. 13, ulteriori accertamenti ai sensi dell'art. 32, comma 2, della legge n. 675/1996 in ordine al trattamento effettuato da Sfera dei dati relativi a don­

Pag. 77

La tutela della privacy nelle attività di marketing e promozionali

ne in stato di gravidanza e a puerpere, raccolti tramite coupon distribuiti all'in­ terno di strutture sanitarie neonatali, la cui compilazione consente agli interes­ sati di ricevere gratuitamente una rivista in abbonamento. Tali accertamenti, effettuati presso gli uffici di Sfera in Milano e, successi­ vamente, presso altri soggetti (Anna Guglielmi – Bari; Gianfranco Brescia – Foggia; Se.E.Con. s.c.a.r.l. – Alcamo (TP); Antonio Saglimbene – Siracusa; Giuseppe Carollo – Palermo; Paolo Milocco – Brindisi), individuati dalla socie­ tà come "promotori" operanti su tutto il territorio nazionale per acquisire i dati personali di donne che frequentano strutture sanitarie neonatali o consultori, hanno riguardato: a) le modalità di acquisizione dei dati da parte della società; b) le procedure attuate per verificare il rispetto delle norme sull'infor­ mativa e la genuinità del consenso; c) il sistema di registrazione dei dati su supporti elettronici; d) le procedure previste per cancellare i dati e per rispettare l'opposi­ zione al trattamento da parte degli interessati; e) la verifica della veridicità delle dichiarazioni rese da Sfera al Garan­ te nell'ambito del procedimento instaurato a seguito delle segnalazioni dei co­ niugi YX. 2. L'attività di Sfera 2.1. Nel corso delle verifiche è emerso che Sfera, società editoriale del gruppo "Rcs Media Group", svolge la propria attività mediante l'invio di riviste, pubblicazioni e prodotti destinati a neo-genitori. Tale attività viene realizzata anche mediante le società controllate risul­ tanti in atti e si articola sostanzialmente in tre fasi: I) raccolta dei dati personali degli interessati; II) gestione del data-base nel quale i dati sono registrati; III) promozione del proprio materiale editoriale e di altri prodotti. 2.2. Con riguardo alla prima di tali fasi è emerso che la fonte primaria di raccolta dei dati da parte di Sfera consiste nella compilazione, per lo più ad opera di donne in stato di gravidanza o puerpere, di coupon resi disponibili presso strutture neonatali, consultori, studi ginecologici e pediatrici, farmacie e negozi per la prima infanzia. Mediante i coupon viene chiesto agli interessati di conferire alcuni dati (in particolare, quelli anagrafici propri e dei figli, o relativi a recapiti, anche telefo­ nici e di posta elettronica, o concernenti la professione) al fine di invio di ma­ teriale editoriale e/o di altri prodotti. Sfera cura la distribuzione dei coupon e la raccolta di quelli compilati, in larga misura tramite una rete di circa trenta "promotori" operanti per aree geografiche (con modalità descritte nei punti 3 e

Pag. 78

La tutela della privacy nelle attività di marketing e promozionali

4). 2.3. I dati raccolti da Sfera confluiscono in tre data-base denominati: a) "prima infanzia", contenente i dati acquisiti mediante le procedure appena descritte; b) "rivista Cipria", relativo a dati acquisiti attraverso coupon pubblicati sulla omonima rivista; c) "vendite dirette", concernente i dati acquisiti sulla base di vendite di­ rette. Nel data-base "prima infanzia" –rispetto al quale sono stati effettuati gli accertamenti sopra menzionati, anche al fine di verificare la presenza di dati riferiti ai segnalanti– sono registrate le informazioni raccolte mediante la distri­ buzione dei coupon ad opera dei promotori; esso consta di circa 2.700.000 anagrafiche di soggetti i cui dati sono stati registrati a partire dall'anno 1992. 3. Le attività svolte dai "promotori" 3.1. I "promotori" sono collaboratori professionali di Sfera legati alla so­ cietà da un contratto che prevede una remunerazione in parte fissa e in parte legata al numero dei coupon compilati e delle strutture sanitarie contattate. Con riferimento ai compiti attribuiti da Sfera alla figura del "promotore", dai predetti accertamenti è emerso che le attività da questi poste in essere consi­ stono: nell'individuazione, tra il personale operante presso le strutture sa­ nitarie, di persone denominate "referenti";
• • nella consegna ai "referenti" di coupon con i quali gli interessati (come detto, per lo più donne in stato di gravidanza e puerpere) pos­ sono richiedere l'abbonamento gratuito alla rivista "Io e il mio bambino";

nell'illustrazione ai "referenti" della condotta da tenere nei confronti dei soggetti chiamati a compilare i coupon;
• • nel "vigilare per evitare, per quanto possibile, la compilazione delle cartoline per la sottoscrizione di abbonamenti trimestrali gratuiti da par­ te di persone che vogliano approfittare delle offerte gratuite della so­ cietà o vogliano effettuare scherzi a danni di inconsapevoli soggetti di loro conoscenza" (v. memoria integrativa contenente dichiarazioni spontanee di Sfera, dell'11 febbraio 2004, p. 3);

nella verifica in ordine alla corretta distribuzione, presso le struttu­ re sanitarie di propria "competenza", del materiale sopra menzionato e dell'ulteriore materiale promozionale (ad esempio "cofanetti" e guide) distribuito direttamente da Sfera;

Pag. 79

La tutela della privacy nelle attività di marketing e promozionali

• nel ritiro delle cartoline compilate (di regola, il mese successivo alla loro distribuzione); • nella verifica della congruità del numero delle cartoline compilate rispetto alla media mensile delle nascite nelle strutture neonatali;

nella compilazione (ed invio, unitamente alle cartoline raccolte) di una scheda dedicata ad ogni struttura ospedaliera coinvolta (denomi­ nata "scheda di passaggio" nelle dichiarazioni rese dai "promotori"), suddivisa in due sezioni: l'una, pre-compilata da Sfera, contenente i dati relativi alla struttura sanitaria, al "promotore" e ai "referenti" della struttura medesima (comprendenti tipologicamente il primario e altro personale sanitario), un "campo note" con indicazioni per i promotori, un riquadro denominato "regali", con l'indicazione dei premi eventual­ mente richiesti dai "referenti" in relazione ai punti maturati dai medesi­ mi (in ordine al funzionamento di tale sistema premiale, v. il punto 4.2.); tale sezione contiene altresì l'indicazione, per mese, del numero di cartoline raccolte, il numero di riviste e di "cofanetti" distribuiti, e l'in­ dirizzo della struttura sanitaria presso la quale questi ultimi vengono spediti; la seconda sezione viene compilata direttamente dai "promoto­ ri" e riporta il numero delle cartoline, l'eventuale motivo del loro manca­ to ritiro, il nome del "referente" a cui queste ultime sono state conse­ gnate, il numero delle riviste rilasciate e il totale delle nascite (per inter­ valli temporali), un campo libero per annotazioni, la data di passaggio e la sottoscrizione del "promotore";

nella consegna delle cartoline a Sfera, unitamente alla corrispon­ dente scheda di passaggio.

Dall'analisi dei compiti svolti (v., in tal senso, anche le dichiarazioni rese da Paolo Milocco nel verbale in atti del 6 ottobre 2004, p. 2) emerge che il "promotore" non effettua alcuna attività di raccolta diretta dei dati, non aven­ do tra l'altro accesso ai reparti ospedalieri (e non potendo quindi interloquire con le persone ricoverate). 3.2. L'attività descritta al punto precedente è svolta dal "promotore" in vir­ tù di un contratto di collaborazione professionale ai sensi dell'art. 2222 del co­ dice civile stipulato con la società, il quale prevede che: a) l'incarico è svolto in autonomia; b) il promotore non è assoggettato a vincoli di subordinazione nei con­ fronti di Sfera, né è tenuto a rispettare direttive (fatta salva l'osservanza, con riguardo ai profili di protezione dei dati personali, delle "Linee guida che rego­ lano la raccolta dei dati personali da parte della società Sfera Editore s.p.a.", allegate al contratto); il controllo da parte di Sfera riguarda il risultato finale; c) in caso di necessità, il promotore può farsi sostituire da persone da lui designate, comunicandone il nominativo alla società;

Pag. 80

La tutela della privacy nelle attività di marketing e promozionali

d) con la sottoscrizione del contratto, il promotore "dichiara di essere informato delle modalità di trattamento dati delle potenziali lettrici delle pubbli­ cazioni di Sfera che egli raccoglierà durante lo svolgimento della sua attività" e dichiara contestualmente "di accettare la nomina di incaricato del trattamen­ to" (clausola 10 del modello di contratto di collaborazione professionale ex art. 2222 c.c. di Sfera, in atti). 4. Il ruolo del personale ospedaliero 4.1. Come già accennato, gli accertamenti svolti hanno messo in eviden­ za che i "promotori", non avendo accesso ai reparti ospedalieri, né, più in ge­ nerale, contatti diretti con gli interessati, non sono in grado di raccogliere da soli i dati per Sfera, la quale si avvale a tal fine di un anello di collegamento rappresentato dal personale ospedaliero. Dalle dichiarazioni rese e dalla documentazione acquisita presso i "pro­ motori" risulta che la messa a disposizione delle cartoline avviene da parte dei summenzionati "referenti", "reclutati" tra il personale medico e paramedico impiegato presso le strutture sanitarie di riferimento; questi ultimi provvedono alla raccolta e alla custodia dei coupon fino alla loro riconsegna al "promoto­ re". Tale procedura –che evidenzia un ruolo attivo del personale sanitario nel­ le descritte operazioni di trattamento dei dati– risulta essere stata seguita abi­ tualmente in luogo di altre possibili modalità curate direttamente da Sfera (in­ vio dei coupon agli interessati mediante comunicazione postale della società –cfr. memoria integrativa di Sfera, cit., p. 3–; coinvolgimento diretto da parte di Sfera del personale sanitario). Peraltro, il ruolo dei "referenti" ospedalieri non è limitato alla trasmissione dei coupon: agli stessi viene chiesto infatti di richiamare l'attenzione degli in­ teressati sull'informativa resa da Sfera e di facilitarne la compilazione (cfr. memoria integrativa di Sfera, cit., p. 4; dichiarazioni rese da Paolo Milocco nel verbale del 6 ottobre 2004, p. 2). 4.2. L'attività dei "referenti" viene gratificata da Sfera con regali e altre utilità da destinarsi ai "referenti" medesimi o alle strutture presso cui essi ope­ rano (cfr. dichiarazioni contenute nei verbali in atti rese da Gianfranco Brescia il 6 ottobre 2004, p. 3; da Paolo Milocco il 6 ottobre 2004, p. 3; da Giuseppe Carollo l'8 ottobre 2004, p. 2; da Antonio Saglimbene l'8 ottobre 2004, p. 3; da Vincenzo Cottone, per Se.E.Con. s.c.a.r.l. di Trapani, l'8 ottobre 2004, p. 3; da Anna Guglielmi il 6 ottobre 2004, p. 3). Regali e utilità vengono assegnati sulla base di un sistema a punti in virtù del quale a ciascun "referente" è attribuito un punto per ogni cartolina compi­ lata. In base ai punti accumulati il "referente" può scegliere, utilizzando una modulistica predisposta da Sfera, premi compresi in un catalogo costante­ mente aggiornato dalla società. La tipologia dei premi offerti è variegata, comprendendo oggetti di marca ad uso personale (collier d'oro, orologi, depilatori, macchine fotografiche digi­

Pag. 81

La tutela della privacy nelle attività di marketing e promozionali

tali, telefoni cellulari, piastre arricciacapelli a vapore, beauty case ), domesti­ co (copripiumone matrimoniale, friggitrici da cucina, bistecchiere grill con dop­ pia piastra, folletto aspirabriciole, tostapane, tovaglie) o destinati al tempo li­ bero (abbonamenti a riviste, apparecchiature di riproduzione musicale, televi­ sori, borse da viaggio), peraltro di dubbia attinenza con i ruoli sanitari ricoper­ ti. È stato accertato, mediante annotazioni contenute nelle "schede di pas­ saggio", che vengono talora richiesti beni non compresi nel catalogo (cfr. scheda di un ospedale acquisita negli accertamenti effettuati presso il sig. Sa­ glimbene, nella quale si legge: "La professoressa XY contattata telefonica­ mente dice che per questo lavoro vuole almeno un'incubatrice, paragona questa attività di propaganda ad uno spot televisivo e ritiene giusto applicare le stesse tariffe"); altri, subordinano la propria collaborazione alla concessio­ ne di "spazi" su riviste (cfr. scheda di un ospedale acquisita negli accerta­ menti effettuati presso il sig. Carollo, nella quale si legge: "Il primario pediatria dottoressa VZ vieta qualsiasi tipo di promozione, salvo disponibilità da parte di Eurotrend a dedicarle uno spazio sulla rivista" e nella quale si legge, quale annotazione ulteriore, "Attenzione! L'incaricata collabora di nascosto" ). 5. I coupon c.d. " non spontanei" 5.1. Nel corso delle verifiche Sfera ha dichiarato che "può accadere che il coupon non venga compilato direttamente dall'interessata, ma tramite la me­ diazione di persone operanti all'interno della struttura ospedaliera, le quali a titolo di cortesia e avendone informato l'interessata, provvedono a completare la cartolina" (memoria integrativa di Sfera, cit., p. 3). Tali cartoline, prive di sottoscrizione (ed eventualmente del numero di te­ lefono degli interessati), vengono contrassegnate dai promotori con la dizione "da verificare", oppure "non spontanee" (cfr. dichiarazioni di Anna Guglielmi, verbale 6 ottobre 2004, p. 3). Al riguardo, la società ha affermato che la clas­ sificazione delle cartoline come "non spontanee" (termine con il quale si quali­ ficano "dati che sono il risultato di una mediazione, non pianificata, nella fase di compilazione della cartolina stessa") è attribuita non solo ai coupon "che presentano un'analoga grafia, ma anche alle cartoline incomplete, con dati mancanti o contraddittori" (memoria integrativa di Sfera, cit., p. 6). In tale contesto, sembrerebbe doversi ricomprendere anche la cartolina (riprodotta in copia da Sfera) da cui sono stati ricavati i dati relativi a YW, pri­ va anch'essa di sottoscrizione e del numero di telefono, che i segnalanti so­ stengono di non aver mai compilato (cfr. note del sig. YX del 28 agosto 2000 e del 16 gennaio 2002 inviate a Sfera e trasmesse per conoscenza a questa Autorità). 5.2. Presso i "promotori", per trovare un'ulteriore conferma della prassi sopra descritta e della circostanza che la stessa fosse nota a Sfera, sono sta­ ti successivamente acquisiti i seguenti documenti:

Pag. 82

La tutela della privacy nelle attività di marketing e promozionali

a) una missiva del 30 gennaio 2003 (prodotta nel corso dell'ispezione presso Gianfranco Brescia) a firma del responsabile dell'Area logistica di Sfe­ ra, sig. Maurizio Santandrea, che in un passo evidenzia che "alcuni ospedali […] consegnano cartoline non spontanee. Nell'ottimizzare la vostra raccolta e il vostro rendimento economico, abbiamo inserito nel pacco di questo mese la "dichiarazione informativa sulla privacy" che se compilata dall'incaricata per­ mette alla cartolina non spontanea di acquisire gli stessi vantaggi di quella spontanea, ottimizzando così tempi e costi"; b) una nota a firma di Maurizio Santandrea e del coordinatore dell'area "Field" Antonio Saracino, in cui si ribadisce al "promotore" Brascia la possibi­ lità di ricorrere all'informativa sottoscritta dai "referenti" ospedalieri per acqui­ sire (in termini di incentivi e premi) gli stessi vantaggi delle cartoline sponta­ nee anche da quelle non spontanee e si invia un prospetto degli enti che, "confrontati con l'aprile 2002, sono notevolmente calati nella raccolta delle cartoline". La missiva prosegue invitando il Brescia a riferire i motivi del de­ cremento e a prospettare rimedi; c) una terza missiva indirizzata al Brescia dall'Area logistica di Sfera, nella quale si evidenzia che le cartoline provenienti da taluni enti "ci risultano essere non spontanee" ed esorta il "promotore" a incentivare la distribuzione delle informative ai referenti "anche regalando dei punti piuttosto che dei re­ gali"; d) in altra missiva, indirizzata anch'essa al Brescia da parte dell'Area logistica di Sfera, si affronta nuovamente la questione della "trasformazione" delle cartoline non spontanee tramite la sottoscrizione dell'informativa da par­ te dei "referenti" ospedalieri, osservando che "per questi enti c'è sempre il ca­ talogo premi, l'articolo sulla rivista, qualche donazione, convegno, pertanto dia il massimo affinché possa convertirli". Il fatto che la società sia a conoscenza che molti coupon non sono com­ pilati dalle interessate risulta anche dall'analisi delle annotazioni (dal seguen­ te tenore: "cartoline compilate dall'incaricata"; "cartoline compilate dall'ostetri­ ca") riportate nel "campo note" di talune delle schede riassuntive in atti che, come detto, il "promotore" è tenuto ad inviare a Sfera. 5.3. Nel corso degli accertamenti, anche in relazione al rinvenimento ne­ gli archivi cartacei di Sfera di diverse cartoline provenienti dagli ospedali di Taranto e San Giuseppe di Nardò (in atti), apparentemente compilate da un unico soggetto (cfr. dichiarazione di Anna Guglielmi nel verbale del 6 ottobre 2004, p. 3), è stato chiesto al responsabile dell'Area logistica se la società avesse contestato ai "promotori" comportamenti irregolari in ordine al feno­ meno delle cartoline c.d. non spontanee. Dalle dichiarazioni rese per conto della società è emerso che: "in ogni circostanza in cui la società abbia nutrito dubbi circa la spontaneità dell'acquisizione delle informazioni, ha proceduto a classificare le stesse con la sigla "NS" (…) e che non sono state fatte specifi­ che contestazioni ma che, comunque, a partire dal 2003, il contratto dei pro­

Pag. 83

La tutela della privacy nelle attività di marketing e promozionali

motori è stato integrato con le linee-guida per il trattamento" (cfr. verbale del 22 dicembre 2003, p. 5). La società ha precisato che "i dati definiti come non spontanei vengono trattati con cautele aggiuntive che portano a chiedere all'interessata di confer­ mare il suo interesse a ricevere il materiale editoriale e, in caso di risposta negativa o anche semplicemente di mancata risposta la società, nel pieno ri­ spetto del principio del consenso espresso dall'interessato su cui si fonda questa attività in base alla normativa, sospende precauzionalmente qualsiasi trattamento dei dati stessi" (memoria integrativa di Sfera, cit., p. 6; cfr. anche la nota di riscontro di Sfera del 18 maggio 2001, cit.). 6. Archiviazione e attività di tele-marketing per i dati contenuti nei coupon c.d. "non spontanei" 6.1. Sulla base di quanto dichiarato da Sfera in sede ispettiva, è emerso che i coupon, una volta riconsegnati dai "promotori", vengono affidati a Kality­ pe s.n.c. e D.S.Z. s.a.s. di Milano per le operazioni di data-entry nel database principale di Sfera. A seguito di un esame sommario dei coupon così raccolti, volto a verifi­ care la completezza dei dati, vengono registrati nel data-base soltanto i dati riportati nelle cartoline contenenti il numero telefonico e la sottoscrizione del­ l'interessato. Le cartoline classificate come "non spontanee" sono invece trasmesse a Telecontatto S.p.a., che provvede a reperire i numeri telefonici degli interes­ sati per rendere possibile la successiva attività di tele-marketing da parte di Sfera. A questo proposito Sfera ha dichiarato che al momento del contatto te­ lefonico l'operatore incaricato "provvede ad acquisire il consenso al tratta­ mento dei dati personali […] con lettura integrale, all'interessato, dell'informa­ tiva". 7. Le istanze ex art. 7 del Codice e le verifiche in ordine a YW Negli accertamenti presso Sfera si è anche verificato il trattamento dei dati personali relativi ai componenti della famiglia YX, in relazione alla proce­ dura seguita per dare corso alle richieste di cancellazione dei dati relativi a coloro che revocano il consenso o che si oppongono al trattamento. I predetti dati risultano presenti nel data-base sotto il nominativo della sig.a "YW" (sebbene il nominativo risulti errato, come evidenziato nel coupon a suo tempo esibito dalla società). In relazione a tale nominativo è presente un c.d. "vincolo di utilizzo" denominato "blocco permanente su richiesta per­ sona". I dati della sig.a YW risultano essere stati acquisiti in due circostanze, "rispettivamente in data 2 agosto 1999, attraverso il coupon della rivista "Io & il mio bambino" […] e in data 1° giugno 2001, attraverso un coupon "Ospeda­ li"" (cfr. verbale del 22 dicembre 2003, p. 5).

Pag. 84

La tutela della privacy nelle attività di marketing e promozionali

Con riguardo poi alle richieste di cancellazione dei dati o alle opposizioni al trattamento, la società ha dichiarato di aver modificato la relativa procedura (che in una prima fase prevedeva la estromissione del relativo record dal data-base) creando un'apposita black list formata dai nominativi e dai codici di avviamento postale di residenza degli interessati che non desiderano rice­ vere comunicazioni da Sfera. 8. Trattamenti effettuati da Sfera e protezione dei dati: in particolare, la mancata designazione di responsabili e incaricati 8.1. La complessa vicenda descritta è di seguito esaminata per ciò che concerne la liceità e la correttezza del trattamento dei dati, profili questi di competenza del Garante. Vanno preliminarmente qualificate dal punto di vista della protezione dei dati le attività svolte da "promotori" e "referenti" nell'interesse di Sfera, titolare del trattamento sopra descritto. Dalla ricostruzione delle attività svolte e degli impegni contrattualmente assunti da soggetti esterni quali i "promotori", la figura di questi ultimi (che pe­ raltro non sono sempre persone fisiche) non risulta qualificabile alla mera stregua di semplici "incaricati del trattamento". Il grado di autonomia del "promotore" in ordine alle modalità da osservare nel trattamento dei dati, così come prefigurata dalle clausole contrattuali che regolano il rapporto di collaborazione coordinata e continuativa con la società, risulta infatti alquanto ampio ancorché all'interno delle direttive impartite da Sfera ("Sintesi delle linee guida che regolano la raccolta dei dati personali da parte della società Sfera Editore s.p.a.", allegata al contratto di collaborazio­ ne). Va pertanto prescritto a Sfera, ai sensi dell'art. 154, comma 1, lett. c ), del Codice, di provvedere alla necessaria designazione dei promotori di cui intenda continuare ad avvalersi quali "responsabili", anziché "incaricati" del trattamento, in conformità a quanto previsto dagli artt. 4 e 29 del Codice. 8.2. Dagli atti non risulta che Sfera, pur sussistendone i presupposti e la necessità, abbia designato quale "responsabile del trattamento", salva la so­ cietà Kalitype –la quale comunque non risulta aver provveduto a designare quali incaricati del relativo trattamento i propri dipendenti (cfr. verbale del 22 dicembre 2003, p. 4)– le società Telecontatto e D.S.Z., né tale designazione è stata a tutt'oggi comunicata al Garante. Il trattamento dei dati presso tali società non risulta quindi dagli atti effet­ tuato in conformità ai necessari requisiti di liceità (artt. 4, 30, 33 e All. B del Codice). La prescrizione di cui al punto 8.1. va quindi impartita dal Garante anche in relazione all'attività di tali società, oltre alla trasmissione degli atti e di copia del presente provvedimento all'autorità giudiziaria per le valutazioni di compe­

Pag. 85

La tutela della privacy nelle attività di marketing e promozionali

tenza in ordine alla non risultante adozione delle misure minime di sicurezza previste dal predetto All. B al Codice (art. 169 del Codice). 8.3. Sono emersi profili critici anche in relazione alla qualificazione, dal punto di vista della disciplina di protezione dei dati personali, dei comporta­ menti materiali posti in essere dai "referenti" che, a titolo diverso, hanno con­ sentito (o tollerato) o, ancora, effettuato direttamente un'attività di distribuzio­ ne dei coupon e di loro raccolta e conservazione una volta compilati, con eventuale partecipazione diretta anche alla loro redazione, prestando assi­ stenza agli interessati, o finanche sostituendosi (a loro insaputa) ai medesimi. Queste attività, basate su una distribuzione alquanto capillare dei "refe­ renti" nell'ambito delle strutture sanitarie interessate agli accertamenti, sono operazioni di trattamento di dati personali (art. 4, comma 1, lett. a ) del Codi­ ce). L'attività dei "referenti", per le modalità attraverso le quali trova regolare attuazione, lungi dal caratterizzarsi per la saltuarietà e l'occasionalità dell'ap­ porto fornito per il trattamento dei dati, denota infatti una continuità nell'impe­ gno assunto dai "referenti" con i "promotori" (e la società), rappresentando un elemento indefettibile ed imprescindibile per la buona riuscita delle operazioni di raccolta dei dati finalizzate al marketing da parte di Sfera. Né, tenendo conto dell'attribuzione dei benefici sopra descritti al punto 4.2., tale attività si caratterizza per disinteresse e spontaneità, come le dichia­ razioni della società vorrebbero far intendere (cfr. memoria integrativa di Sfe­ ra, cit., p. 4, secondo cui le cartoline possono anche "essere raccolte con l'assistenza spontanea del personale ospedaliero […], che si premura di di­ stribuire le cartoline. A tale riguardo va precisato […] che non è infrequente che lo stesso personale ospedaliero agevoli la diffusione del materiale distri­ buito e questo per un comprensibile elemento di carattere psicologico (risulta infatti moralmente gratificante consentire alla neo-mamma di ricevere gratui­ tamente materiale di pregio e di immediata utilità)". Tali elementi, valutati nelle concrete modalità di svolgimento delle opera­ zioni di raccolta, inducono a rinvenire nei "referenti" l'ultimo, ma vitale, anello della catena di cui Sfera si avvale per la raccolta (e, talora, la "generazione", nel caso delle c.d. cartoline non spontanee) delle informazioni personali. I "referenti" non risultano aver assunto questo compito in termini leciti in rapporto alle funzioni che i medesimi possono svolgere nelle strutture pubbli­ che e private di appartenenza in corrispondenza dell'esecuzione della presta­ zione lavorativa (non constando, dagli atti acquisiti, che l'attività svolta per Sfera fosse prevista da convenzioni legittimamente sottoscritte dalle strutture sanitarie o consentita da atti autorizzativi interni). Oltre agli altri aspetti di illiceità e non correttezza del trattamento legati a talune modalità di concreta informativa e compilazione dei coupon, non risulta altresì che i "referenti" abbiano trattato legittimamente i dati nella qualità di

Pag. 86

La tutela della privacy nelle attività di marketing e promozionali

"incaricati del trattamento" designati da Sfera o dai "promotori" (incarico di cui è peraltro difficile configurare la liceità alla luce della disciplina vigente e del­ l'anomalo sistema di collaborazione sinora instaurato, atteso che i "referenti" sono generalmente dipendenti o collaboratori delle strutture sanitarie presso le quali operano –e, quindi, già "incaricati" delle medesime– e che l'"incaricato del trattamento" può essere designato come tale solo se opera "sotto la diret­ ta autorità del titolare o del responsabile": art. 30 del Codice). Va pertanto vietato a Sfera, ai sensi degli artt. 143, comma 1, lett. c), 154, comma 1, lett. d), e 170 del Codice, di effettuare ulteriori operazioni di trattamento dei dati avvalendosi di "referenti" sprovvisti dei necessari presup­ posti di legittimazione al trattamento. La comunicazione all'autorità giudiziaria di cui al punto 8.2. viene dispo­ sta dal Garante anche in relazione alla non risultante adozione delle predette misure minime di sicurezza concernenti la descritta attività dei "referenti". 9. L'informativa e il consenso degli interessati 9.1. I coupon distribuiti dai promotori (di cui sono state acquisite alcune copie nel corso degli accertamenti) sono di tenore parzialmente diverso in re­ lazione all'informativa e alla dichiarazione di consenso al trattamento da parte degli interessati riprodotte nei medesimi; contengono una sintetica informativa ai sensi dell'art. 10 della legge n. 675/1996 e un apposito spazio per racco­ gliere la manifestazione del consenso. In taluni casi è previsto uno spazio per la sottoscrizione; in altri modelli, per esplicitare il consenso, è inserita solo una casella da barrare. A tale ri­ guardo la società ha asserito che le differenze "nelle formule di informativa e consenso sono effetto di un processo in continuo divenire di adeguamento alle indicazioni provenienti dal Garante e di suggerimenti dei consulenti dell'a­ zienda" (v. verbale del 22 dicembre 2003, p. 2). 9.2. Ciò premesso, i diversi modelli di informativa esaminati non conten­ gono una specifica e distinta indicazione in ordine alle finalità perseguite (consistenti nell'utilizzo delle informazioni per l'invio dell'abbonamento gratuito alla rivista e nell'invio di altro materiale promozionale da parte della società o di terzi, anche appartenenti allo stesso gruppo societario) e alle relative mo­ dalità di trattamento dei dati. Né viene indicata la finalità di profilazione degli interessati, che è stata oggetto di notificazione al Garante da parte di Sfera. I modelli, così come sono strutturati, non consentono agli interessati di comprendere quali siano le informazioni che gli stessi dovrebbero conferire ai fini dell'invio della rivista (tra i quali potrebbero ricomprendersi i dati identifica­ tivi e i recapiti) e quelle, facoltative, utilizzate dalla società per compiere altre attività (dati anagrafici propri e dei figli, sesso, professione, numeri telefonici e indirizzi di posta elettronica).

Pag. 87

La tutela della privacy nelle attività di marketing e promozionali

In alcuni casi non è prevista un'indicazione chiara delle categorie di sog­ getti cui i dati possono essere comunicati. In particolare, in uno dei modelli di informativa predisposto dalla società e acquisito agli atti, Sfera si limita ad operare un mero riferimento, per di più a titolo esemplificativo, a "gli inserzio­ nisti di "Io & il mio bambino" ed altre aziende di primaria importanza". Nelle al­ tre cartoline esaminate, invece (con cui sembrerebbero essere state sostituite a partire dal 2000 quelle appena descritte: v. la nota di riscontro di Sfera del 18 maggio 2001 alla richiesta di informazioni del Garante ex art. 32, comma 1, l. n. 675/1996), ai fini dell'individuazione delle categorie di soggetti cui i dati possono essere comunicati, si rinvia, più genericamente, ad un elenco ag­ giornato contenente tali indicazioni, che l'interessato può richiedere al respon­ sabile del trattamento. Oltre al divieto di cui al dispositivo per quanto riguarda i dati già trattati in modo illecito e non corretto, va pertanto prescritto a Sfera, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di riformulare l'informativa inserita nei cou­ pon, in conformità alla previsione ora contenuta nell'art. 13 del Codice e ai principi richiamati dal Garante in precedenti occasioni (Provv.24 febbraio 2005, punto 6, in www.garanteprivacy.it, doc. web n. 1109624; Provv.13 gen­ naio 2000, ivi, doc. web n. 42276), integrandola in maniera tale da rendere chiari e comprensibili tutti gli aspetti qualificanti del trattamento sopra rappre­ sentati. 9.3. Con riguardo al profilo del consenso, le formule predisposte da Sfera risultano differenziate. Ricorrono, infatti, le seguenti locuzioni: a) "Se non desideri ricevere successivi invii di campioni gratuiti e di in­ formazioni scientifiche o commerciali, contrassegna con X la casella". A que­ sto proposito deve rilevarsi che tale formula, strutturata mediante l'inserimen­ to di una casella da barrare, non consente all'interessato di esplicare piena­ mente il proprio diritto all'autodeterminazione informativa, prevedendo solo un'opzione di tipo "negativo" (c.d. opt out) e non è quindi conforme ai requisiti già previsti dalla legge n. 675 e, ora, dal Codice (art. 23). Come già rilevato (cfr. Provv. 13 gennaio 2000, cit., p. 42), la manifestazione del consenso (o la sua documentazione) in forma negativa, ossia come mera possibilità di espri­ mere un dissenso o di barrare una casella per la rinuncia o l'opposizione ad ulteriori contatti o comunicazioni commerciali, anche se preceduta da una corretta informativa, si pone infatti in contrasto con quanto stabilito dal citato art. 23, comma 3, del Codice (già art. 11, comma 3, l. n. 675/1996), il quale presuppone che il medesimo, per essere valido, sia "espresso liberamente" e "in forma specifica"; b) "In mancanza del suo consenso l'Editore non potrà inviarle la rivista ed informarla sulle iniziative commerciali". Ponendo riguardo a tale formula, deve rilevarsi che il trattamento di dati preordinato all'invio della rivista è ne­ cessario, in base a quanto previsto nell'art. 24, comma 1, lett. b), del Codice (già art. 12, comma 1, lett. b), l. n. 675/1996), per eseguire obblighi derivanti

Pag. 88

La tutela della privacy nelle attività di marketing e promozionali

da un contratto del quale è parte l'interessato (ossia l'esecuzione del contrat­ to gratuito di abbonamento). Non è quindi corretto da parte di Sfera sollecita­ re, come risulta avvenire nel caso di specie, il consenso a tale trattamento di dati (cfr. Provv. 24 febbraio 2005, cit., punto 7; Provv. 3 novembre 2005, in www.garanteprivacy.it, doc. web n. 1195215). La raccolta dei dati degli interessati di cui al punto a) effettuata da parte di Sfera per compiere successive attività di marketing configura pertanto una violazione dei principi di liceità e correttezza ai sensi degli artt. 11, comma 1, lett. a ), e 23 del Codice. Ai sensi dell'art. 11, comma 2, del Codice i dati così raccolti sono inutilizzabili. Oltre al divieto di cui al dispositivo per quanto riguarda i dati già trattati in modo illecito e non corretto, va prescritto a Sfera, ai sensi dell'art. 154, com­ ma 1, lett. c), del Codice, di:

definire, nei coupon utilizzati, un modello uniforme di raccolta del con­ senso utilizzando solo formule che permettano agli interessati di mani­ festare validamente la propria volontà in termini "positivi"; richiedere tale consenso solo in ordine ad ogni altra finalità di tratta­ mento differente da quella relativa all'invio della rivista (ossia, la finalità di profilazione e ricerche di mercato da un lato; e quella di marketing dall'altro); acquisire, in base a quanto prescritto nell'art. 23 del Codice, solo mani­ festazioni di consenso specifiche, informate e distinte per ciascuna delle finalità perseguite dalla società attraverso il trattamento dei dati raccolti con i predetti coupon (cfr. Provv. 24 febbraio 2005, cit., punto 7).

9.4. Con riferimento al trattamento dei dati effettuato mediante le c.d. car­ toline "non spontanee" (descritto al punto 5) redatte in assenza della sotto­ scrizione degli interessati, e comunque della prova (resa anche in altra forma) che il consenso è stato previamente prestato dagli stessi per la cessione e la successiva utilizzazione di dati personali per finalità di marketing, ricorre an­ che in questo caso un'ipotesi di violazione dei principi di liceità e correttezza ai sensi degli artt. 11, comma 1, lett. a ), e 23 del Codice. Le "cautele aggiuntive" cui fa riferimento Sfera e le "procedure di control­ lo" dalla medesima adottate (v. precedente punto 5.3.), consistenti nel contat­ tare telefonicamente gli interessati (al fine di "chiedere di confermare il suo in­ teresse a ricevere il materiale editoriale" e più in generale quelle descritte al punto 6), comportano la realizzazione di operazioni di trattamento che non possono ritenersi allo stato lecite, considerato che la raccolta dei dati da cui hanno avuto origine tali operazioni è avvenuta in contrasto con le previsioni normative sopra citate.

Pag. 89

La tutela della privacy nelle attività di marketing e promozionali

Anche sotto questo profilo, oltre a quanto già affermato nel punto 8.3. ed estendendo al punto in esame sia la prescrizione di cui al punto 9.3., sia il di­ vieto di trattamento dei dati già trattati in modo illecito e non corretto, va rile­ vato, ai sensi dell'art. 11, comma 2, del Codice, che i dati trattati sono inutiliz­ zabili. 10. Procedure di cancellazione ed opposizione al trattamento In ordine alle procedure adottate da Sfera per garantire un esatto adem­ pimento alle istanze presentate dagli interessati ai sensi degli artt. 7 e 8 del Codice (cfr. punto 7), la società, in caso di opposizione al trattamento ai sensi dell'art. 7, comma 4, lett. b), del Codice, non è tenuta a cancellare i dati, es­ sendo a tal fine sufficiente adottare un sistema (ad esempio mediante apposi­ te black list ) che consenta di impedire l'ulteriore trattamento di tali dati per le finalità oggetto dell'opposizione (invio di materiale pubblicitario, vendita diret­ ta, compimento di ricerche di mercato, comunicazione commerciale). Al contrario, diversamente da quanto risulta effettuato da Sfera, la richie­ sta di cancellazione di dati dell'interessato comporta (quando sussistono i presupposti previsti nell'art. 7, comma 3, lett. b), del Codice, ossia la violazio­ ne di legge o l'esaurimento degli scopi per i quali sono stati raccolti) la neces­ saria eliminazione definitiva dei medesimi dal data-base ove sono custoditi, in maniera tale da escludere qualsiasi loro ulteriore trattamento, anche in forma di conservazione. Anche tale profilo deve pertanto formare oggetto di prescrizione a Sfera per ulteriori trattamenti di dati, ai sensi del predetto art. 154, comma 1, lett. c ), del Codice, nonché di divieto del trattamento per ciò che concerne i dati già trattati in modo illecito e non corretto. TUTTO CIÒ PREMESSO, IL GARANTE 1) vieta a Sfera Editore S.p.a., ai sensi dell'art. 154, comma 1, lett. d ), del Codice, di proseguire il trattamento dei dati personali che sono stati già trattati in modo illecito e non corretto in violazione delle disposizioni e dei prin­ cipi di cui ai punti 8, 9 e 10, a decorrere dalla data di ricezione del presente provvedimento; 2) prescrive a Sfera Editore S.p.a., ai sensi dell'art. 154, comma 1, lett. c ), del Codice, al fine di rendere il trattamento conforme alle disposizioni vi­ genti, di adottare per eventuali altri trattamenti leciti di dati, nei termini di cui in motivazione ed entro il 15 febbraio 2007, le misure necessarie per rispettare l'obbligo di: a. designare quali responsabili del trattamento ai sensi dell'art. 29 del Codice i soggetti di cui la società si avvale per effettuare attività di gestio­ ne del data-base o per le attività di raccolta dei dati personali finalizzati allo svolgimento di attività di marketing svolta dalla medesima (punti 8.1. e 8.2.);

Pag. 90

La tutela della privacy nelle attività di marketing e promozionali

b. fornire un'idonea informativa agli interessati, completa di tutti gli elementi di cui all'art. 13 del Codice (punto 9.2.); c. acquisire e trattare i dati degli interessati in base ad un consenso validamente prestato ai sensi dell'art. 23 del Codice (punto 9.3. e 9.4.); d. adottare procedure idonee a garantire un esatto adempimento alle istanze rivolte dagli interessati in base agli artt. 7 e 8 del Codice (punto 10); e. dare conferma al Garante, entro e non oltre la medesima data del 15 febbraio 2007, in ottemperanza alla presente statuizione adottata anche ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, che i tratta­ menti di dati da essa effettuati sono conformi alle prescrizioni del presente provvedimento, conformità che dovrà essere comprovata anche da ogni infor­ mazione e documento utili da allegare alla comunicazione all'Autorità; 3) dispone la trasmissione degli atti e di copia del presente provvedi­ mento all'autorità giudiziaria per le valutazioni di competenza in ordine alla non risultante adozione delle misure minime di sicurezza previste dall'Allegato B al Codice (art. 169 del Codice) (punti 8.2. e 8.3.). Roma, 7 dicembre 2006 IL PRESIDENTE Pizzetti IL RELATORE Fortunato IL SEGRETARIO GENERALE Buttarelli

Pag. 91

La tutela della privacy nelle attività di marketing e promozionali

Provvedimento 31 gennaio 2008, Divieto di invio di fax promozionali senza consenso IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi­ dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Pais­ san e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarel­ li, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giu­ gno 2003, n. 196, di seguito "Codice"); VISTO il provvedimento del 14 luglio 2005 (in www.garanteprivacy.it, doc. web n. 1151640) con il quale questa Autorità ha individuato procedure semplificate per la formazione degli elenchi telefonici organizzati per catego­ rie merceologiche/professionali (c.d. elenchi "categorici"), prescrivendo anche alcune misure che devono essere in riferimento alle modalità di acquisizione e inserimento dei dati personali e all'informativa agli interessati; RILEVATO che il quadro semplificato per gli operatori emergente da tale provvedimento fa salve le peculiari garanzie operanti, anche nell'ambito degli elenchi categorici, per le comunicazioni di carattere commerciale effettuate ai sensi dell'art. 130 del Codice; VISTA la segnalazione di Luigi Barzazi, in nome proprio e dello studio di consulenza Bls, del 21 febbraio 2007 con la quale è stata contestata la rice­ zione di e-mail e fax indesiderati inviati da Milano Meeting s.r.l. al fine di pro­ muovere propri servizi; RILEVATO che il segnalante ha lamentato anche che, malgrado i vari tentativi volti a esercitare il diritto di opposizione di cui all'art. 7 del Codice, sono pervenuti ulteriori messaggi indesiderati inviati tramite e-mail e telefax; VISTA la nota inviata da Milano Meeting s.r.l.. in data 13 settembre 2007, a seguito di una specifica richiesta di informazioni dell'Autorità, con la quale la società ha affermato, riguardo alle modalità e forme di raccolta dei dati perso­ nali, che questi "provengono dal pubblico elenco organizzato per categorie (c.d. elenchi categorici)", "dal registro pubblico dell'Albo dell'Ordine dei com­ mercialisti" e che essa non è in grado di riprodurre "il tabulato di conferma del preventivo contatto telefonico per l'invio"; RILEVATO che nella medesima nota la società ha dichiarato di richiede­ re il consenso "con e-mail preventive all'invio di messaggi di posta elettronica ovvero, nell'ipotesi di invio via fax, con preventiva conferma telefonica"; RILEVATO che l'art. 130, comma 2 del Codice prevede per l'invio di messaggi promozionali mediante posta elettronica e telefax il presupposto del preventivo consenso informato e specifico dell'interessato;

Pag. 92

La tutela della privacy nelle attività di marketing e promozionali

CONSIDERATO che tale garanzia non può essere elusa inviando una prima e-mail che, nel richiedere il consenso, abbia già un contenuto promo­ zionale o pubblicitario (v. Provv. 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it doc. web n. 29840); RILEVATO che dalla documentazione allo stato acquisita non risulta comprovato che, nel caso di specie, sia stato richiesto preliminarmente uno specifico consenso all'interessato per l'inoltro delle comunicazioni mediante telefax ed e-mail, necessario ai sensi del predetto art. 130 in ragione della specificità dei mezzi considerati; CONSIDERATO che l'invio di materiale pubblicitario e di comunicazioni commerciali mediante e-mail e telefax effettuato da Milano Meeting s.r.l. sen­ za il prescritto consenso configura quindi un trattamento illecito di dati (art. 130 Codice); CONSIDERATO che il titolare del trattamento, è tenuto a predisporre ido­ nee misure al fine di agevolare l'esercizio dei diritti di cui all'art. 7 del Codice da parte dell'interessato (art. 10, comma 1, del Codice); RISERVATA, con autonomo provvedimento, la verifica dei presupposti per contestare la violazione amministrativa concernente l'inidonea informativa (artt. 13, comma 4 e 161 del Codice); CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali; CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle di­ sposizioni vigenti; RILEVATO che il trattamento di dati personali che non risulta effettuato in modo lecito ha carattere sistematico; RILEVATA la necessità di adottare nei confronti di Milano Meeting s.r.l. un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato all'invio di materiale pubblicitario e di comunicazioni commerciali per mezzo di e-mail e telefax senza che risulti comprovato il necessario consenso preventi­ vo, specifico e informato del destinatario; TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essen­ dovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati perso­

Pag. 93

La tutela della privacy nelle attività di marketing e promozionali

nali non possono essere utilizzati; CONSIDERATO che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice); VISTA la documentazione in atti; VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000; Relatore il prof. Francesco Pizzetti; TUTTO CIÒ PREMESSO IL GARANTE a) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Milano Meeting s.r.l. con sede legale in Milano, Via Cosimo del Fante 10 l'ulteriore trattamento illecito dei dati personali effettuato tramite l'utilizzo del telefax ed e-mail per l'invio di materiale pubblicitario e di comuni­ cazioni commerciali senza che risulti comprovato un consenso preventivo, specifico e informato degli interessati; b) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice prescrive a Milano Meeting s.r.l. di predisporre le misure idonee al fine di rendere agevole ed effettivo l'esercizio dei diritti di cui all'art. 7 del Codice da parte degli interessati. Ciò, entro e non oltre il 28 febbraio 2008, dando do­ cumentato riscontro a questa Autorità entro lo stesso termine, ai sensi del­ l'art. 157 del Codice, circa l'avvenuto adempimento. Roma, 31 gennaio 2008 IL PRESIDENTE Pizzetti IL RELATORE Pizzetti IL SEGRETARIO GENERALE Buttarelli

Pag. 94

La tutela della privacy nelle attività di marketing e promozionali

Provvedimento del 12 marzo 2009 (G.U. 20 marzo 2009), Prescrizioni ai titolari di banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l. 207/2008 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi­ dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Pais­ san e del dott. Giuseppe Fortunato, componenti, e del cons. Filippo Patroni Griffi, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giu­ gno 2003, n. 196, di seguito "Codice"); VISTO l'art. 129, comma 2, del Codice che, in attuazione della disciplina comunitaria e, in particolare, della direttiva 2002/58/Ce, ha individuato nella "mera ricerca dell'abbonato per comunicazioni interpersonali" la finalità prima­ ria degli elenchi telefonici realizzati in qualunque forma; CONSIDERATO che tale disposizione ribadisce che il trattamento dei dati inseriti negli elenchi, se realizzato per fini ulteriori tra cui rientrano quelli pubblicitari, promozionali o commerciali, è lecito solo se è effettuato con il consenso espresso liberamente e specificamente dagli interessati, documen­ tato per iscritto e previa informativa; VISTO il provvedimento del 15 luglio 2004 (in www.garanteprivacy.it, doc. web n. 1032381) con il quale l'Autorità ha individuato le modalità di inse­ rimento e di successivo utilizzo dei dati personali relativi agli abbonati e agli acquirenti del traffico prepagato negli elenchi telefonici "alfabetici" del servizio universale, realizzati in qualsiasi forma, in rapporto alle diverse finalità so­ praindicate, anche in rapporto all'informativa; VISTO il provvedimento del 14 luglio 2005 (in www.garanteprivacy.it, doc. web n. 1151640) con il quale l'Autorità ha individuato procedure semplifi­ cate per la redazione e l'utilizzo degli elenchi organizzati per categorie mer­ ceologiche/professionali (c.d. elenchi "categorici"); RILEVATO che la disciplina in materia di protezione dei dati personali prevede la possibilità di utilizzare, per attività di carattere promozionale, pub­ blicitario o commerciale, alcune categorie di dati e, in particolare: a) quelli presenti negli elenchi c.d. "alfabetici" per i quali l'interessato ha manifestato il proprio consenso (Provv. 15 luglio 2004 cit.); b) quelli presenti negli elenchi c.d. "categorici" (Provv. 14 luglio 2005 cit.); c) quelli presenti nelle banche dati costituite utilizzando anche dati estratti da elenchi telefonici formati pre­ cedentemente al 1° agosto 2005, sempre che il titolare del trattamento sia in grado di dimostrare di aver fornito effettivamente, prima di tale data, l'informa­ tiva agli interessati ai sensi dell'art. 13 del Codice;

Pag. 95

La tutela della privacy nelle attività di marketing e promozionali

RILEVATO che resta impregiudicato quanto previsto dall'art. 130 del Co­ dice riguardo alle attività promozionali effettuate attraverso sistemi automatiz­ zati di chiamata senza l'intervento di un operatore, per le quali è sempre ne­ cessario il consenso espresso dell'interessato; VISTO l'art. 44, comma 1-bis del decreto legge 30 dicembre 2008, n. 207, convertito, con modificazioni, nella legge 27 febbraio 2009, n. 14 (in G.U. n. 28L del 28 febbraio 2009), che ha stabilito che i dati personali presen­ ti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del Codice, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005; CONSIDERATO che la predetta previsione ha introdotto una deroga temporanea ai principi generali della vigente disciplina sopra richiamata che, in quanto tale, cessa alla scadenza del 31 dicembre 2009 e non istituisce, in­ vece, un regime speciale applicabile anche successivamente a tale data; CONSIDERATO che la deroga in questione è subordinata al contempo­ raneo verificarsi di due condizioni, ossia che le banche dati siano state costi­ tuite prima del 1° agosto 2005 e che i dati in esse presenti vengano utilizzati per finalità promozionali esclusivamente dagli stessi titolari che le hanno a suo tempo costituite; CONSIDERATO che la stessa deroga ha posto quindi un vincolo di finali­ tà e un vincolo di carattere temporale nell'utilizzo delle predette banche dati, rappresentato dallo svolgimento di attività di carattere promozionale sino al 31 dicembre 2009 e che, quindi, i dati personali presenti nelle predette ban­ che dati non possono essere utilizzati, in vigenza del regime derogatorio, per finalità ulteriori e al di fuori dell'ambito temporale di operatività della deroga; RITENUTO, pertanto, che rendere una informativa e acquisire un con­ senso, nel predetto periodo, finalizzati alla costituzione di una banca dati da utilizzare per attività promozionali anche in data successiva al 31 dicembre 2009, costituisce una attività ulteriore rispetto ai vincoli di finalità e di ordine temporale indicati nella norma derogatoria e transitoria; CONSIDERATO, inoltre, che l'informativa, ove resa agli interessati nel corso del predetto periodo, non renderebbe lecita la costituzione di una banca dati utilizzabile per attività di carattere promozionale, come avveniva anterior­ mente al 1° agosto 2005; CONSIDERATO, poi, in ragione del predetto vincolo di finalità introdotto per il periodo transitorio, che il consenso, anche laddove fosse acquisito in vi­ genza della deroga, non rileverebbe in alcun modo per lo svolgimento di atti­ vità promozionali o per lo svolgimento di altre attività per le quali è necessario acquisirlo, anche in data successiva al 31 dicembre 2009;

Pag. 96

La tutela della privacy nelle attività di marketing e promozionali

CONSIDERATO, dunque, che una banca dati potrebbe essere utilizzata per attività promozionali, successivamente al 31 dicembre 2009, solo se for­ mata nel rispetto della disciplina ordinaria, atteso che la disciplina derogatoria e transitoria cessa alla predetta data e, come già rilevato, costituisce una de­ roga di carattere temporaneo alla disciplina generale e non istituisce un regi­ me speciale applicabile anche successivamente alla scadenza indicata; CONSIDERATO inoltre che, in ragione di quanto detto, i dati personali presenti nelle banche dati considerate dalla norma derogatoria e transitoria, non possono essere ceduti, a qualunque titolo, a terzi; CONSIDERATO che, in relazione all'attuale utilizzo delle predette ban­ che dati per finalità promozionali, resta comunque impregiudicata la disciplina generale prevista dal Codice e, in particolare, quella relativa ai diritti degli in­ teressati; e che, pertanto, le predette banche dati non possono contenere i dati degli interessati che, nel corso del tempo, abbiano esercitato il diritto di opposizione ai sensi dell'art. 7 del Codice; RITENUTA la necessità di prescrivere ai titolari del trattamento, ai sensi dell'art. 143, comma 1, lett. b) e art. 154, comma 1, lett. c) del Codice, le mi­ sure necessarie per rendere il trattamento conforme alle disposizioni vigenti, anche in considerazione delle recenti modifiche normative; TENUTO CONTO che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del presente provvedimento prescrittivo, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro; TENUTO CONTO, inoltre, che, ai sensi dell'art. 164-bis, comma 2, del Codice, in caso di più violazioni di un'unica o di più disposizioni relative a vio­ lazioni amministrative, commesse anche in tempi diversi in relazione a ban­ che di dati di particolare rilevanza o dimensioni, si applica la sanzione ammi­ nistrativa del pagamento di una somma da cinquantamila euro a trecentomila euro; TENUTO CONTO, infine, che ai sensi dell'art. 168 del Codice, chiunque, in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedi­ mento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsa­ mente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni; VISTA la documentazione in atti; VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000; RELATORE il prof. Francesco Pizzetti;

Pag. 97

La tutela della privacy nelle attività di marketing e promozionali

TUTTO CIÒ PREMESSO IL GARANTE ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Co­ dice, prescrive a tutti i titolari del trattamento che siano in possesso di banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° ago­ sto 2005 e che intendano utilizzarle per fini promozionali avvalendosi della deroga introdotta dalla legge 27 febbraio 2009, n. 14, le seguenti misure ne­ cessarie per rendere il trattamento conforme alle disposizioni vigenti: a) documentare in modo adeguato l'avvenuta costituzione della ban­ ca dati prima del 1° agosto 2005 e conservare la relativa documentazione presso la sede legale del titolare; b) trattare direttamente i dati personali presenti nelle banche dati oggetto del presente provvedimento, senza possibilità di cederli, a qualunque titolo, a terzi; c) specificare, in occasione di ogni contatto con gli interessati, chi ri­ vesta la qualifica di titolare del trattamento dei dati, anche nel caso in cui que­ sti operi per conto di terzi e fare presente agli interessati stessi che hanno il diritto di opporsi ai sensi dell'art. 7 del Codice; d) registrare in via immediata l'eventuale opposizione dell'interessa­ to al trattamento dei suoi dati personali effettuato dal titolare (art. 7, comma 4, del Codice), con effetto anche nei confronti dei terzi per conto dei quali que­ sto operi, anche qualora ciò avvenga telefonicamente, e fornire altresì all'inte­ ressato l'identificativo dell'operatore o dell'operazione compiuta; e) utilizzare i dati personali presenti nelle banche dati di cui alla lett. a) esclusivamente per finalità promozionali e sino al 31 dicembre 2009, non potendo i titolari rendere un'informativa agli interessati e richiedere agli stessi un consenso per l'uso dei loro dati per attività di carattere promozionale da ef­ fettuare in data successiva al 31 dicembre 2009; f) comunicare al Garante, entro quindici giorni dalla pubblicazione in Gazzetta Ufficiale del presente provvedimento, di essere in possesso di ban­ che dati costituite anteriormente al 1° agosto 2005 che si intendono utilizzare per attività promozionali fino al 31 dicembre 2009, chiarendo se il trattamento dei dati personali venga effettuato anche per conto di terzi. Si dispone la trasmissione di copia del presente provvedimento al Mi­ nistero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubbli­ cazione sulla Gazzetta Ufficiale della Repubblica italiana. Roma, 12 marzo 2009 IL PRESIDENTE

Pag. 98

La tutela della privacy nelle attività di marketing e promozionali

Pizzetti IL RELATORE Pizzetti IL SEGRETARIO GENERALE Patroni Griffi

Pag. 99

Sign up to vote on this title
UsefulNot useful