News
06 dicembre 2017
La possibilità che chiunque possa consultare l’elenco nazionale dei domicili digitali comporta elevati rischi per la riservatezza degli interessati, dovendo l’accesso essere più correttamente circoscritto a quei soggetti pubblici chiamati all’applicazione del CAD ed esclusivamente per i fini istituzionali loro affidati.
04 dicembre 2017
Le società che intendono utilizzare i dati personali di ipotetici clienti a scopo di marketing devono rispettare i principi di correttezza e finalità del trattamento di cui all’art. 11, comma 1, lett. a) e b) del Codice Privacy nonché ottenere un consenso preventivo, informato, libero e documentato nel rispetto degli artt. 13, commi 1 e 4, 23, 130, commi 1 e 2 del Codice.
01 dicembre 2017
Per la delicatezza dei dati trattati nell’ambito del SIC (Sistema di Informazioni Creditizie), tale da richiedere particolari cautele in vista di non pregiudicare il diritto alla privacy degli interessati, il Garante ha inteso chiarire il senso di alcuni istituti presenti nel Codice di deontologia e buona condotta di settore.
Formazione

Per conoscere veramente la privacy iscrivetevi ai nostri corsi!

Newsletter

Per essere sempre aggiornati in materia di privacy iscrivetevi alla nostra newsletter!

Dettaglio news
lunedì 4 dicembre 2017

No alle email promozionali senza il consenso preventivo dell’interessato

Le società che intendono utilizzare i dati personali di ipotetici clienti a scopo di marketing devono rispettare i principi di correttezza e finalità del trattamento di cui all’art. 11, comma 1, lett. a) e b) del Codice Privacy nonché ottenere un consenso preventivo, informato, libero e documentato nel rispetto degli artt. 13, commi 1 e 4, 23, 130, commi 1 e 2 del Codice. È questo il principio sancito dal Garante in un provvedimento, originato dalla segnalazione di un noto istituto bancario italiano, riguardante l’invio di e-mail promozionali indesiderate, ai propri promotori, da parte di una società di marketing. Per la precisione, l’istante eccepiva la mancanza di una manifestazione libera e specifica al trattamento dati (da parte dei propri promotori) nonché l’inosservanza del disposto di cui all’art. 13 del D.Lgs. n. 196/2003 (in merito all’informativa) e delle indicazioni fornite dal Garante nelle Linee guida del 4 luglio 2013 (cd social marketing). Chiamata a rispondere sul punto, la società che aveva agito a scopo promozionale si era difesa chiarendo che i dati personali dei promotori finanziari, destinatari delle email pubblicitarie, erano stati correttamente raccolti, a seguito dell’acquisizione del consenso, sia durante incontri di natura professionale (a cui gli stessi avevano partecipato) sia sui social network. A seguito di accertamenti effettuati presso la sede di quest’ultima, è emerso che l’attività di marketing veniva svolta principalmente attraverso l’invio di email a consulenti finanziari che avevano rapporti con la società stessa. Tale attività avveniva tramite contatti diretti, presi in occasione di fiere o eventi inerenti al settore finanziario, “con lo scambio di bigliettini da visita ovvero mediante instaurazioni di rapporti sui social network come Linkedin e Facebook” e che in seguito, venivano inseriti “all’interno della piattaforma (fornita da un soggetto terzo) nella quale erano caricate (dalla Società) anche altre informazioni acquisite dall’albo pubblico di categoria”. Ma non solo, l’attività promozionale si realizzava anche attraverso l’invio delle offerte agli indirizzi di posta elettronica acquisiti tramite il sito principale della società e a quelli creati manualmente dalla stessa abbinando, in questo caso, “il nome e il cognome del promotore all’account standard di posta elettronica dell’Istituto di credito di riferimento”. In tal modo, rendendosi sempre più frequente l’interazione secondo le modalità suddette, la società di marketing si sentiva autorizzata ad inviare il materiale promozionale. Per quanto concerne, invece, le modalità di acquisizione del consenso al trattamento, è stato rilevato che, i promotori, invitati a visitare il sito della società in cui è presente l’informativa privacy, non rilasciavano un consenso specifico per l’attività di marketing, bensì accettavano obbligatoriamente l’informativa, mediante la spunta della casella “ho letto e accettato l’informativa della privacy”, nella quale si faceva riferimento anche al servizio di marketing svolto, esclusivamente, nei confronti dei clienti e non anche dei meri utenti. La società, tuttavia, ribadiva, a sua difesa, la possibilità di cancellare la propria iscrizione, cliccando su un link appositamente inserito all’interno di ogni email inviata. Orbene, il Garante ha ritenuto il trattamento dei dati personali per finalità di marketing, così come svolto dalla società, lesivo “dei principi di correttezza e finalità del trattamento di cui all’art. 11, comma 1, lett. a) e b), del Codice” e, al contempo, mancante del consenso preventivo, informato, libero e documentato per iscritto degli interessati. Ciò in considerazione del fatto che, dal contesto o dalle modalità di funzionamento del social network, deve sempre trasparire, in maniera inequivocabile, la volontà dell’interessato anche di ricevere comunicazioni promozionali da parte di una determinata impresa. Il requisito del consenso, come più volte chiarito dal Garante, sussiste anche quando i dati personali siano rinvenibili in internet, in quanto l’agevole reperibilità di tali dati non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione”. Prive di qualsiasi fondamento giuridico, quindi, le considerazioni della società circa la sussistenza di un consenso all’utilizzo dei dati per finalità di marketing per il solo fatto di essere iscritti ad un social network. Sul punto, anche il Gruppo di lavoro art. 29 per la protezione dei dati, ha ritenuto “escluso che il mero accesso ad un sito web, e non diversamente deve ritenersi la mera iscrizione ad un social network, per ciò solo comporti la legittimità del trattamento dei dati conferiti da parte di altri partecipanti alla medesima piattaforma ai fini dell’invio di informazioni commerciali”. L’Authority ha, altresì, rilevato che la Società non è stata in grado di dimostrare l’avvenuta comunicazione dell’informativa agli interessati né di provare l’acquisizione del consenso preventivo, libero e specifico al trattamento dati, così come richiesta dagli artt. 23 e 130, comma 1 e 2 del Codice. Da ultimo, in merito alla possibilità, ravvisata dalla società, di disiscrizione dal servizio di mailing list, il Garante ha ritenuto illecito l’invio di comunicazioni promozionali contenenti un siffatto avviso, in quanto il consenso deve essere preventivo all’invio della email contenente il link per l’opposizione alle successive offerte di marketing. Ciò premesso, deve ritenersi che i dati personali degli interessati, così come trattati dalla società di marketing, non possano essere utilizzati per finalità promozionali e, pertanto, il Garante ha vietato alla società ogni uso ulteriore degli stessi.