Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
privacy nelle
attività di
marketing e
promozionali
Stefano Bendandi
Sommario
Licenza....................................................................................................................1
Note sull'autore......................................................................................................1
Avvertenze...............................................................................................................1
Premessa..............................................................................................3
Capitolo 1..............................................................................................5
La raccolta ed il trattamento dei dati....................................................................5
L'informativa............................................................................................................6
Il consenso..............................................................................................................6
Le ipotesi di trattamento senza consenso..............................................................7
I diritti degli interessati e le modalità di esercizio....................................................9
Capitolo 2............................................................................................11
Le comunicazioni elettroniche indesiderate.....................................................11
La necessità del consenso specifico....................................................................11
Le comunicazioni mediante posta elettronica.......................................................12
Le comunicazioni mediante SMS ed MMS...........................................................14
Le comunicazioni mediante fax.............................................................................14
Il marketing telefonico o teleselling.......................................................................15
La deroga nel marketing telefonico prevista dalla legge 14/2009..................................15
La comunicazione di servizi e prodotti analoghi...................................................17
Il marketing di prossimità ed il bluetooth advertising.....................................18
L'acquisto di banche dati e le comunicazioni per conto di terzi....................19
Capitolo 3............................................................................................21
Il marketing comportamentale............................................................................21
L'analisi dei dati raccolti online.............................................................................21
Le carte fedeltà.....................................................................................................22
Capitolo 4............................................................................................25
Il marketing geografico........................................................................................25
I servizi basati sulla localizzazione....................................................................25
Appendice normativa.........................................................................29
Decreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy)...............................29
Art. 3 – Principio di necessità nel trattamento dei dati................................................29
Art. 4 – Definizioni......................................................................................................29
Art. 7 – Diritto di accesso ai dati personali ed altri diritti..............................................33
Sommario
Licenza
Quest'opera deve ritenersi soggetta ai termini della licenza Creative
Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia.
Una sintesi delle condizioni e dei diritti attribuiti da tale licenza è disponi
bile all'indirizzo http://creativecommons.org/licenses/by-nc-nd/2.5/it/.
La copia integrale della licenza è invece disponibile all'indirizzo
http://creativecommons.org/licenses/by-nc-nd/2.5/it/legalcode.
Note sull'autore
Stefano Bendandi, iscritto all'ordine degli avvocati del Foro di Pescara,
è titolare di uno studio (http://www.stefanobendandi.com) che opera prevalen
temente nel campo del diritto applicato alle nuove tecnologie, con particolare
riferimento alle problematiche concernenti la tutela della privacy, la sicurezza
informatica, le telecomunicazioni, il commercio elettronico, il marketing, il dirit
to d'autore e la proprietà intellettuale.
Docente ed autore di pubblicazioni, è blogger su IT & Dintorni dove cura
in prima persona approfondimenti e riflessioni in materia di nuove tecnologie,
diritto e cultura digitale.
E' membro di AIPSI (Ass. Italiana dei Professionisti di Sicurezza Informa
tica, Issa Italian Chapter) e delegato ANDIP (Ass. Nazionale per la Difesa
della Privacy).
Avvertenze
I contenuti di questo e-book hanno un valore puramente informativo e
non possono essere equiparati ad una consulenza professionale né sostituirsi
a quest'ultima, anche in considerazione della natura generale, e non specifi
ca, delle problematiche assunte come riferimento ai fini della trattazione.
Pur avendo adottato la massima cautela e diligenza possibili nella raccol
ta e preparazione del materiale, l'autore non assume alcuna responsabilità,
diretta od indiretta, per gli eventuali errori od omissioni o per l'utilizzo delle in
formazioni presenti in questo libro.
Pag. 1
La tutela della privacy nelle attività di marketing e promozionali
Premessa
Il marketing rappresenta uno strumento fondamentale per lo sviluppo del
business di qualsiasi entità.
Secondo la definizione fornita da Philip Kotler, uno dei massimi esperti
della materia, il marketing è un processo sociale e manageriale mediante il
quale una persona od un gruppo ottiene ciò che costituisce oggetto dei propri
bisogni e desideri, creando, offrendo e scambiando prodotti e valore con altri.
Il marketing, che può essere diretto ai consumatori finali (cd. marketing
B2C) oppure alle imprese (cd. marketing B2B), si basa su una strategia a me
dio-lungo termine finalizzata al raggiungimento degli obiettivi definiti in un pia
no.
Di regola il complesso delle attività che ruota intorno a questa strategia
richiede, per la loro stessa natura, un trattamento di dati personali da cui de
rivano, conseguentemente, delle problematiche di natura giuridica relative al
l'applicazione della disciplina di cui al Decreto Legislativo 30 giugno 2003, n.
196 (“Codice della privacy”).
Le questioni che si prospettano sono diverse ed interessano, non soltan
to adempimenti di natura documentale o tecnico-operativa, ma anche alcuni
vincoli di utilizzo delle tecnologie informatiche ed elettroniche le quali riescono
ad attrarre, sempre più, l'attenzione dei potenziali utilizzatori, grazie ad una
serie di innegabili vantaggi:
• facilità d'uso
• immediatezza
• possibilità di raggiungere un target vastissimo di soggetti
• riduzione dei costi operativi
D'altra parte però gli stessi strumenti tecnologici si rivelano potenzialmen
te lesivi della sfera di riservatezza degli individui, ragion per cui sia il legislato
re comunitario1 che quello italiano2 hanno fissato dei presupposti che ne ren
dono lecito l'uso, soprattutto se finalizzato ad azioni di comunicazione promo
zionale o di vendita diretta di beni o servizi.
Da tali premesse scaturisce pertanto lo scopo principale di questo ebook
che è quello di analizzare i complessi rapporti esistenti tra la normativa posta
a tutela dei dati personali e l'esecuzione di attività di marketing.
Non si tratta ovviamente, né vuole esserlo, di una trattazione esaustiva
sull'argomento ma di un semplice vademecum preparato con l'intento di esse
re utile a tutti coloro che, per professione od interesse, si occupano della ma
1 Direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel
settore delle comunicazioni elettroniche.
2 Vedi art. 130 del d.lgs. 196/03, in appendice normativa, con il quale è stata data attuazione alle
prescrizioni della direttiva 2002/58/CE citata
Pag. 3
La tutela della privacy nelle attività di marketing e promozionali
teria.
Nelle intenzioni dell'autore questo ebook assume il significato di opera in
continua evoluzione per la quale sono sempre ben accetti, consigli, feedback
e critiche che possono essere indirizzati al seguente indirizzo di posta elettro
nica sbt449-ml@yahoo.it
Pag. 4
La tutela della privacy nelle attività di marketing e promozionali
Capitolo 1
Pag. 5
La tutela della privacy nelle attività di marketing e promozionali
ne alle finalità perseguite (art. 23) e siano messi in condizioni di poter eserci
tare, in qualsiasi momento, i propri diritti (art. 7).
L'informativa
E' un adempimento che si ricollega con il diritto dell'interessato di cono
scere l'identità del titolare e degli altri soggetti che possono venire a cono
scenza dei suoi dati e di poter valutare le modalità e le finalità del trattamento
e le conseguenze di un suo eventuale consenso o rifiuto.
L'informativa può essere resa, in forma orale o scritta, al momento del
l'acquisizione dei dati oppure della loro registrazione o comunicazione6, ma
costituisce, comunque, un obbligo preventivo che anticipa il trattamento, a
prescindere dal fatto che quest'ultimo richieda o meno il consenso dell'inte
ressato o che i dati siano acquisiti su web7.
Inoltre, considerata l'importanza di tale comunicazione, l'art. 138 del d.lgs.
196/03 interviene anche per specificarne i contenuti, in relazione ai quali si
pone il problema delle cd. clausole di stile.
Queste ultime consistono infatti in espressioni del tipo "I dati da lei forniti
saranno trattati secondo quanto previsto dalla normativa..."e, in più occasioni,
sono state ritenute illecite dal garante, soprattutto se prive delle informazioni
basilari richieste dall'art. 13.
Anzi, a tale proposito, non va dimenticato che la mancanza della informa
tiva o l'inadeguatezza del suo contenuto sono sanzionate nei termini dell'illeci
to amministrativo di “Omessa od inidonea informativa”, previsto e punito dal
l'art. 161 con pena pecuniaria9.
Il consenso
Il consenso è il presupposto che legittima il trattamento dei dati personali.
Esso assume la natura di autorizzazione e si presenta come manifesta
zione di un diritto del soggetto di determinare il destino dei dati concernenti la
propria identità personale (cd. autodeterminazione informativa).
Il consenso può avere per oggetto un intero trattamento oppure una o più
operazioni ad esso relative ma, per essere valido, deve rispettare i requisiti
dettati dall'art. 23 del d.lgs. 196/03 10 concernenti:
6 A seconda che la raccolta avvenga o meno presso l'interessato (es. di raccolta indiretta è quella
dell'acquisto presso terzi oppure della estrazione da elenchi o registri pubblici).
7 Cfr. per un caso reale Ordinanza/Ingiunzione del garante del 18 settembre 2008, su
http://www.garanteprivacy.it/garante/doc.jsp?ID=1559382
8 In appendice normativa
9 Recentemente, con la legge 27 febbraio 2009, n. 14 di conversione del D.L. 207/2008 l'entità della
sanzione è stata inasprita, passando da seimila a trentaseimila euro
10 In appendice normativa
Pag. 6
La tutela della privacy nelle attività di marketing e promozionali
1. la libertà e la specificità
2. la specificità della forma
3. la chiarezza della formula e la sua stretta attinenza con l'informati
va
La libertà implica che la manifestazione di consenso sia esente da qua
lunque pressione di natura fisica o psicologica.
Nell'ambito dei condizionamenti psicologici inammissibili rientrano, peral
tro, tutte le ipotesi in cui il consenso risulta condizionato dall'accettazione di
clausole che inducono uno squilibrio tra le parti o abbia il solo scopo di con
sentire l'accesso a particolari condizioni di natura contrattuale.
Analogamente si ravvisa una violazione del principio della libertà quando
i dati raccolti per una determinata finalità, in relazione alla quale è stato mani
festato un consenso, vengono utilizzati, in realtà, anche per scopi diversi,
pure se esplicitati.
Nei casi in cui il trattamento persegue finalità differenti appare, dunque,
opportuno acquisire e separare le manifestazioni di volontà in relazione a cia
scuno scopo.
La specificità riguarda, invece, l'oggetto del consenso che deve essere ri
ferito ad un determinato trattamento identificato nei suoi elementi costitutivi
(categorie di dati, modalità, titolare/responsabile e finalità).
Tale requisito rende evidente l'importanza di adottare tecniche espressi
ve chiare, prive di formulazioni superflue, ridondanti o generiche che aprono
la strada a manifestazioni di volontà generalizzate, in quanto tali, invalide.
Dal punto di vista formale il consenso non richiede, con la sola eccezione
dei dati sensibili, una manifestazione per iscritto, fermo restando, tuttavia, il ri
corso alla documentazione scritta ai fini della sua prova.
Non dimentichiamo, infine, la necessità che il consenso sia “informato”,
cioè preceduto da una informativa, chiara e corretta, che descriva in modo
esauriente tutti gli elementi di cui all'art. 13 citato.
Peraltro mentre l'informativa, per la funzione che assolve, deve essere
analitica, la manifestazione di consenso può anche essere elementare, pur
ché organizzata sulla base di opzioni di tipo positivo attraverso le quali l'inte
ressato sia messo in condizione di esprimere la propria volontà.
Pag. 7
La tutela della privacy nelle attività di marketing e promozionali
Pag. 8
La tutela della privacy nelle attività di marketing e promozionali
12 Per una disamina più approfondita della tematica si consiglia di leggere il Capitolo 2
13 In appendice normativa
Pag. 9
La tutela della privacy nelle attività di marketing e promozionali
Pag. 10
La tutela della privacy nelle attività di marketing e promozionali
Capitolo 2
Pag. 11
La tutela della privacy nelle attività di marketing e promozionali
In effetti l'art. 58, comma 1, del d.lgs. 206/05 16 limita l'utilizzo di alcune
tecniche di comunicazione a distanza nei confronti dei consumatori stabilendo
che: "L'impiego da parte di un professionista del telefono, della posta elettro
nica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o
di fax richiede il consenso preventivo del consumatore".
Contemporaneamente, però, il successivo comma 2 riconosce la validità
di un sistema di opt-out, prevedendo che il professionista possa utilizzare tec
niche di comunicazione differenti dal telefono, dalla posta elettronica, dal fax
o dai sistemi automatizzati di chiamata, a meno che il consumatore non si di
chiari esplicitamente contrario.
Questa divergenza potrebbe passare inosservata se non fosse per il fatto
che alla disposizione citata viene riconosciuta una efficacia in deroga alle nor
me del codice della privacy 17.
Ovviamente la deroga di cui si parla deve intendersi con riferimento al
principio del consenso, e non all'intero impianto normativo in materia di priva
cy, ma ciò appare sufficiente a creare una notevole confusione che, di certo,
non agevola la comprensione di una tematica già di per sé complessa.
Tornando alla disposizione dell'art. 130, il comma 5 vieta qualsiasi forma
di comunicazione effettuata camuffando o celando l'identità del mittente o
senza fornire un idoneo recapito.
Lo scopo è quello di evitare il verificarsi di situazioni che possano com
portare una elusione delle nome di legge concernenti l'esercizio dei diritti da
parte degli interessati.
In materia di comunicazioni elettroniche indesiderate si è andata forman
do con il tempo una discreta giurisprudenza dell'autorità garante della privacy,
chiamata spesso ad occuparsi del fenomeno.
I prossimi paragrafi sono destinati proprio ad illustrare gli orientamenti or
mai consolidati in materia.
16 In appendice normativa
17 In tal senso si esprime l'art. 19 bis del decreto legge 20 dicembre 2005 n. 273, convertito in legge 23
febbario 2006 n. 51
Pag. 12
La tutela della privacy nelle attività di marketing e promozionali
messaggi 18.
Questa premessa è valida, inoltre, a prescindere dalla facilità con la qua
le sia possibile reperire un indirizzo di posta o dal fatto che esso sia stato
pubblicato sulla rete Internet e, dunque, si applica in tutti i casi seguenti:
• indirizzi generati ed utilizzati automaticamente, mediante software,
senza l'intervento di un operatore;
• indirizzi degli utenti che prendono parte ad un gruppo di discussio
ne;
• indirizzi compresi negli elenchi degli abbonati a particolari servizi;
• indirizzi pubblicati in siti web da soggetti pubblici o privati;
• indirizzi presenti nelle registrazioni dei nomi di dominio Internet;
• qualsiasi altro indirizzo reperito, in qualunque modo, sulla rete In
ternet;
Il consenso può essere prestato con ogni modalità idonea a renderlo una
libera manifestazione di volontà dell'interessato, collegata ad una specifica fi
nalità ed espressa sulla base di una informativa idonea contenente le indica
zioni richieste dall'art. 13.
Secondo una interpretazione del gruppo di lavoro sulla tutela dei dati per
sonali, di cui all'articolo 29 della direttiva 95/46/CE, il riferimento all'esistenza
di una specifica finalità comporta che l'eventuale autorizzazione sia accompa
gnata da una informazione sulla tipologia di prodotti o servizi per i quali si ri
tiene ammissibile l'invio di messaggi promozionali 19.
In presenza di tali requisiti il consenso può anche essere raccolto a voce,
purché sia inequivocabile, e, comunque, venga successivamente documen
tato in modo scritto.
L'autorità garante ritiene illecita la prassi diffusa della richiesta di consen
so attraverso una prima email, avente comunque un contenuto promozionale,
od il riconoscimento al soggetto della sola facoltà di opt-out cioè, in pratica,
l'onere di attivarsi per non ricevere più messaggi dello stesso tipo.
Sembra, invece, accolta con favore la prestazione del consenso attraver
so una procedura di registrazione ad un sito web, purché seguita da un invito
a confermare la registrazione.
In tale ultimo caso occorre che le applicazioni ed i sistemi, sui quali si
basa il funzionamento del sito, siano progettati e configurati per permettere
l'esercizio del diritto all'autodeterminazione informativa: questo si traduce nel
la necessità di predisporre opzioni di scelta di tipo positivo - ad esempio ca
18 Provvedimento generale del Garante del 29 maggio 2003. Spamming, regole per un corretto invio
delle email pubblicitarie, in appendice normativa
19 Parere 5/2004 del gruppo di lavoro per la tutela dei dati personali relativo alle comunicazioni
indesiderate ai fini di commercializzazione diretta
Pag. 13
La tutela della privacy nelle attività di marketing e promozionali
Pag. 14
La tutela della privacy nelle attività di marketing e promozionali
24 In appendice normativa
25 Stop alle telefonate indesiderate: il Garante impone a gestori e call center di interrompere
comportamenti illeciti, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1412772
26 Cfr. anche Marketing telefonico: scattano i divieti del Garante alle telefonate indesiderate, su
http://www.garanteprivacy.it/garante/doc.jsp?ID=1544082
27 Con sito web all'indirizzo http://www.istitutoitalianoprivacy.org
28 Cfr. per un primo commento Marketing telefonico e privacy: verso un sistema di opt-out ?, su
http://stefanobendandi.blogspot.com/2009/06/marketing-telefonico-e-privacy-verso-un.html
Pag. 15
La tutela della privacy nelle attività di marketing e promozionali
Il punto cruciale della disposizione, alla quale non sono state risparmiate
critiche feroci da parte degli operatori del diritto e delle associazione di utenti,
è quello che consente, anche in mancanza dell'informativa e del consenso
dell'interessato, il trattamento per fini promozionali dei dati personali memoriz
zati in banche dati costituite, prima della data del 1° agosto 2005, sulla base
di elenchi telefonici pubblici.
Si tratta, come è evidente, di una eccezione di ampia portata perché, non
solo prescinde dal consenso dei singoli interessati, ma li priva anche della
possibilità di venire a conoscenza di alcuni trattamenti di dati in essere.
In compenso, la deroga è circoscritta alle sole attività promozionali realiz
zate con il mezzo telefonico e di essa potranno beneficiare soltanto i titolari
dei dati, con l'esclusione di qualsiasi altra ipotesi differente (es. acquisto di
banche dati).
Anzi, proprio per sgombrare il campo da comportamenti poco chiari e da
tentativi di applicazione estensiva della norma, il garante è successivamente
intervenuto con un provvedimento29 per determinare i requisiti al cui soddisfa
cimento si intende subordinata la fruizione di questo particolare regime di
esenzione.
Le misure a tal fine previste impongono ai titolari l'obbligo di:
• documentare adeguatamente l'avvenuta costituzione della banca dati
prima del 1° agosto 2005, conservando la relativa documentazione
presso la propria sede legale;
• trattare i dati presenti nelle banche dati in modo esclusivo, senza ce
derli, a qualsiasi titolo, a terzi;
• specificare, in occasione di ogni contatto telefonico, l'identificativo di
chi tratta i dati, anche nel caso in cui questo operi per conto di terzi, e
far presente agli interessati il loro diritto di opporsi ai sensi dell'art. 7
del codice;
• registrare contestualmente ogni eventuale opposizione al trattamen
to, con effetto immediato anche nei confronti dei terzi, e darne imme
diato riscontro all'interessato attraverso la comunicazione dell'identifi
cativo dell'operatore o dell'operazione compiuta;
• utilizzare i dati personali presenti nelle banche dati per le sole finalità
promozionali, non oltre il termine del 31 dicembre 200930;
• comunicare al Garante, entro quindici giorni dalla pubblicazione del
provvedimento in G.U., avvenuta in data 20 marzo 2009, di essere in
29 Provvedimento del 12 marzo 2009, Prescrizioni ai titolari di banche dati costituite sulla base di elenchi
telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l.
n. 207/2008 , in appendice normativa
30 E' esclusa la possibilità di rendere un'informativa agli interessati e richiedere il loro consenso per il
trattamento dei dati da effettuare in data successiva al 31 dicembre 2009 per attività di carattere
promozionale
Pag. 16
La tutela della privacy nelle attività di marketing e promozionali
Pag. 17
La tutela della privacy nelle attività di marketing e promozionali
Pag. 18
La tutela della privacy nelle attività di marketing e promozionali
Pag. 19
La tutela della privacy nelle attività di marketing e promozionali
Pag. 20
La tutela della privacy nelle attività di marketing e promozionali
Capitolo 3
Il marketing comportamentale
Rientra nell'ambito delle nuove frontiere del marketing e si definisce com
portamentale poiché si avvale di una strategia pubblicitaria mirata, basata
sulla creazione di messaggi personalizzati (targeting) a partire dal comporta
mento del singolo consumatore in un determinato contesto35.
L'efficacia della tecnica dipende da una analisi di dati storici, piuttosto
che dalla semplice deduzione36, e necessita quindi di una mole di informazioni
sufficiente a supportare questo tipo di approccio.
Queste informazioni che, a seconda dei casi, potrebbero avere anche na
tura personale sono acquisite da varie fonti, tra cui Internet che svolge il ruolo
di principale strumento tecnologico per la ricostruzione delle attività svolte on
line.
Attraverso l'analisi all'utente viene dunque attribuito un determinato profi
lo, dal quale dipende la successiva personalizzazione della strategia promo
zionale.
Il marketing comportamentale combina i vantaggi del marketing diretto
con quelli del marketing di massa in un mix che sembra promettere un eleva
to tasso di conversione o ritorno degli investimenti.
Al tempo stesso, però, le attività di raccolta e profilazione dei dati perso
nali impongono l'adozione di opportune cautele e, quando effettuate con l'au
silio degli strumenti informatici, richiedono l'adempimento dell'obbligo della
notificazione di cui all'art. 37 del d.lgs. 196/03 37.
Pag. 21
La tutela della privacy nelle attività di marketing e promozionali
che effettuate con determinate parole chiave o dalla lettura delle pagine il cui
contenuto risulta associato alle stesse keywords.
Nell'ultima ipotesi, infine, l'elemento prevalente è costituito da una storia
delle visite ed, in particolare, delle azioni compiute da ogni singolo visitatore
durante la propria esperienza di navigazione.
Ma come possono essere raccolti i dati su Internet ?
Una delle tecniche più diffuse è quella dei cookies, piccoli file di testo, in
viati dai server web e memorizzati sul computer dell'utente, contenenti le in
formazioni più disparate (numero identificativo, pagine visitate, annunci con
sultati, ecc...).
Sebbene il meccanismo sia stato originariamente sviluppato per rendere
più fruibile la navigazione in rete, esso si presta pure ad un utilizzo con finalità
di profilazione.
In alcune circostanze i cookies possono concorrere a realizzare forme di
trattamento dei dati personali.
Questo accade quando i dati in essi contenuti consentono l'identificazio
ne di un soggetto, anche indirettamente, attraverso l'associazione con altri
dati (nome utente, indirizzo email o anagrafico, ecc...).
L'acquisizione dei dati mediante cookies deve, quindi, ritenersi soggetta
alle prescrizioni della legislazione sulla privacy, anche perchè avviene, spes
so, con modalità automatiche ed invisibili38.
La conseguenza più immediata è che ai soggetti interessati deve essere
reso noto, con una privacy policy, l'utilizzo dei cookies e deve essere fornita
una informativa idonea contenente gli elementi previsti dall'art. 13 (tipologia
dei dati, finalità della raccolta, modalità di trattamento, diritti, ecc....); inoltre
ad ogni soggetto deve essere offerta la possibilità di scegliere se accettare o
rifiutare i cookies.
Le medesime considerazioni valgono anche per altri stratagemmi che
operano automaticamente (ad es. quelli basati sulle tecnologie javascript,
java, ecc....), ovviamente nei limiti, appena indicati, in cui essi realizzano casi
di trattamento dei dati personali.
Le carte fedeltà
Le cd. carte fedeltà rientrano nel quadro generale delle iniziative di fide
lizzazione della clientela ma non è raro che vengano rilasciate anche con la
finalità di raccogliere informazioni specifiche relative ai comportamenti di ac
quisto (volumi di spesa, tipologia di beni o servizi acquistati, frequenza,
ecc...).
38 Vedi Raccomandazione 1/99 del gruppo di lavoro dell'art. 29 sul trattamento invisibile ed automatico
dei dati personali su Internet effettuato da software ed hardware
Pag. 22
La tutela della privacy nelle attività di marketing e promozionali
La raccolta dei dati personali alla base di questo sistema rientra nelle
previsioni del d.lgs. 196/03, tanto che il garante ha ritenuto di dover fare chia
rezza in materia con il provvedimento generale del 24 febbraio 2005 39.
I punti salienti di questo provvedimento riguardano il rispetto dei principi
di necessità e proporzionalità, la completezza della informativa, l'esigenza di
un consenso libero e la fissazione di termini per la conservazione dei dati.
Necessità e proporzionalità implicano l'osservanza di presupposti diffe
renti, a seconda delle finalità perseguite:
• fidelizzazione: i dati raccolti devono essere soltanto quelli che
permettono di accedere ai vantaggi della carta (informazioni anagrafi
che e sul volume globale di spesa progressivamente realizzato con l'e
sclusione, salvo casi particolari, dei dati di dettaglio aventi ad oggetto
le tipologie di beni o servizi acquistati, ecc...)40
• profilazione: i dati devono avere, di regola, natura anonima o non
identificativa ed essere privi di riferimenti che permettano di individuare
gli interessati e le caratteristiche inerenti la loro sfera personale. Nei
casi in cui ciò non sia praticabile, i dati personali, con l'esclusione di
quelli sensibili, possono essere oggetto di trattamento in banche dati,
purché separate da quelle utilizzate per altre finalità
• marketing diretto: possono essere acquisiti solo i dati stretta
mente indispensabili per l'invio di materiale pubblicitario, le comunica
zioni commerciali o la vendita diretta
L'informativa che precede ogni trattamento deve essere chiara e comple
ta, identificando i soggetti ai quali i dati vengono eventualmente comunicati
ed evidenziando le caratteristiche delle varie attività di profilazione e marke
ting diretto.
Mentre i dati richiesti per le singole iniziative di fidelizzazione non richie
dono il consenso degli interessati, essendo funzionali all'adempimento di ob
blighi derivanti da un contratto 41, per tutte le altre finalità, invece, il consenso
deve essere raccolto in modo distinto.
In ogni caso non sono lecite forme di condizionamento di alcun tipo, po
ste in essere subordinando, ad esempio, la fruizione dei vantaggi alla conces
sione dell'autorizzazione al trattamento dei propri dati per finalità di marketing
42
.
39 In appendice normativa
40 Cfr. provvedimento del garante del 28 maggio 2009, Fidelity card: prescrizioni su trattamento
eccedente di dati personali e informativa al cliente, su http://www.garanteprivacy.it/garante/doc.jsp?
ID=1625257
41 Ipotesi che realizza una delle fattispecie di trattamento senza consenso, ai sensi dell'art. 24, in
appendice normativa
42 Cfr. provvedimento del garante del 24 maggio 2006: profilazione e fidelizzazione nella grande
distribuzione, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1298784
Pag. 23
La tutela della privacy nelle attività di marketing e promozionali
Pag. 24
La tutela della privacy nelle attività di marketing e promozionali
Capitolo 4
Il marketing geografico
Il marketing geografico prevede l'impiego di sistemi che utilizzano infor
mazioni di natura geografica (Geographic Information System) nell'ambito del
processo di pianificazione ed implementazione delle varie attività del marke
ting mix (prodotto, prezzo, promozione e posizionamento).
Si tratta in pratica di sistemi di business intelligence, espressione di un
marketing di tipo territoriale, che guidano le scelte operative, permettendo di
definire le azioni più appropriate in relazione al particolare ambito geografico
in cui si trova od opera una determinata realtà.
Il risultato è dato da una ottimizzazione delle stesse attività e strategie,
comprese quelle di natura promozionale, grazie anche alla scelta di forme di
comunicazione più idonee per il contesto di riferimento.
Pag. 25
La tutela della privacy nelle attività di marketing e promozionali
43 La definizione si ricava dall'art. 4, comma 2, lett. i) del codice della privacy, in appendice normativa
44 In appendice normativa
45 Anche se la norma non è molto chiara al riguardo si ritiene che il consenso debba essere quello della
persona cui si riferiscono i dati di ubicazione, cioè in pratica dell'utilizzatore dell'apparecchiatura
terminale; Vedi il parere del 25 novembre 2005, adottato dal gruppo di lavoro dell'art. 29 e relativo
all'uso dei dati di ubicazione al fine di fornire servizi a valore aggiunto, disponibile all'indirizzo
http://www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp115_it.pdf
46 Si tratta del fornitore dei servizi a valore aggiunto oppure, nel caso in cui il fornitore non sia in contatto
diretta con l'interessato, l'operatore delle comunicazione elettroniche
47 Deve, perciò, escludersi che un valido consenso possa essere formulato in sede di accettazione delle
condizioni generali del servizio di comunicazione elettronica
48 Cfr. parere del 25 novembre 2005, cit.
Pag. 26
La tutela della privacy nelle attività di marketing e promozionali
Pag. 27
La tutela della privacy nelle attività di marketing e promozionali
Appendice normativa
Decreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy)
Art. 4 – Definizioni
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni, effet
tuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione, l'elabo
razione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancella
zione e la distruzione di dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono l'identificazione
diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed et
nica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politi
che, l'adesione a partiti, sindacati,associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rive
lare lo stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di
cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 no
vembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle san
zioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la
qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministra
zione e qualsiasi altro ente, associazione od organismo cui competono, an
che unitamente ad altro titolare, le decisioni in ordine alle finalità, alle mo
dalità del trattamento di dati personali e agli strumenti utilizzati, ivi com
preso il profilo della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo preposti
dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni
di trattamento dal titolare o dal responsabile;
Pag. 29
La tutela della privacy nelle attività di marketing e promozionali
Pag. 30
La tutela della privacy nelle attività di marketing e promozionali
Pag. 31
La tutela della privacy nelle attività di marketing e promozionali
Pag. 32
La tutela della privacy nelle attività di marketing e promozionali
Pag. 33
La tutela della privacy nelle attività di marketing e promozionali
Pag. 34
La tutela della privacy nelle attività di marketing e promozionali
Pag. 35
La tutela della privacy nelle attività di marketing e promozionali
pubblico.
2. I dati sono estratti a cura del responsabile o degli incaricati e posso
no essere comunicati al richiedente anche oralmente, ovvero offerti in visione
mediante strumenti elettronici, sempre che in tali casi la comprensione dei
dati sia agevole, considerata anche la qualità e la quantità delle informazio
ni. Se vi è richiesta, si provvede alla trasposizione dei dati su suppor
to cartaceo o informatico, ovvero alla loro trasmissione per via telematica.
3. Salvo che la richiesta sia riferita ad un particolare trattamento o a
specifici dati personali o categorie di dati personali, il riscontro all'inte
ressato comprende tutti i dati personali che riguardano l'interessato co
munque trattati dal titolare. Se la richiesta è rivolta ad un esercente una
professione sanitaria o ad un organismo sanitario si osserva la disposizione
di cui all'articolo 84, comma 1.
4. Quando l'estrazione dei dati risulta particolarmente difficoltosa il
riscontro alla richiesta dell'interessato può avvenire anche attraverso l'e
sibizione o la consegna in copia di atti e documenti contenenti i dati per
sonali richiesti.
5. Il diritto di ottenere la comunicazione in forma intelligibile dei dati non
riguarda dati personali relativi a terzi, salvo che la scomposizione dei dati trat
tati o la privazione di alcuni elementi renda incomprensibili i dati personali re
lativi all'interessato.
6. La comunicazione dei dati è effettuata in forma intelligibile anche at
traverso l'utilizzo di una grafia comprensibile. In caso di comunicazione di
codici o sigle sono forniti, anche mediante gli incaricati, i parametri per la
comprensione del relativo significato.
7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e 2, let
tere a), b) e c) non risulta confermata l'esistenza di dati che riguardano
l'interessato, può essere chiesto un contributo spese non eccedente i costi
effettivamente sopportati per la ricerca effettuata nel caso specifico.
8. Il contributo di cui al comma 7 non può comunque superare l'importo
determinato dal Garante con provvedimento di carattere generale, che
può individuarlo forfettariamente in relazione al caso in cui i dati sono
trattati con strumenti elettronici e la risposta è fornita oralmente. Con il me
desimo provvedimento il Garante può prevedere che il contributo possa esse
re chiesto quando i dati personali figurano su uno speciale supporto del
quale è richiesta specificamente la riproduzione, oppure quando, presso
uno o più titolari, si determina un notevole impiego di mezzi in relazione alla
complessità o all'entità delle richieste ed è confermata l'esistenza di
dati che riguardano l'interessato.
9. Il contributo di cui ai commi 7 e 8 è corrisposto anche median
te versamento postale o bancario, ovvero mediante carta di pagamento o di
Pag. 36
La tutela della privacy nelle attività di marketing e promozionali
credito, ove possibile all'atto della ricezione del riscontro e comunque non ol
tre quindici giorni da tale riscontro.
Art. 13 – Informativa
1. L'interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono es
sere comunicati o che possono venirne a conoscenza in qualità di re
sponsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante
nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quan
do il titolare ha designato più responsabili è indicato almeno uno di essi,
indicando il sito della rete di comunicazione o le modalità attraverso le quali
è conoscibile in modo agevole l'elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il riscontro all'interessato
in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da
specifiche disposizioni del presente codice e può non comprendere gli ele
menti già noti alla persona che fornisce i dati o la cui conoscenza può ostaco
lare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni
Pag. 37
La tutela della privacy nelle attività di marketing e promozionali
Art. 23 – Consenso
1. Il trattamento di dati personali da parte di privati o di enti pubblici eco
nomici è ammesso solo con il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più opera
zioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso libera
mente e specificamente in riferimento ad un trattamento chiaramente indivi
duato, se è documentato per iscritto, e se sono state rese all'interessato le in
formazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguar
da dati sensibili.
Pag. 38
La tutela della privacy nelle attività di marketing e promozionali
Pag. 39
La tutela della privacy nelle attività di marketing e promozionali
Pag. 40
La tutela della privacy nelle attività di marketing e promozionali
Pag. 41
La tutela della privacy nelle attività di marketing e promozionali
Pag. 42
La tutela della privacy nelle attività di marketing e promozionali
Pag. 43
La tutela della privacy nelle attività di marketing e promozionali
49 Secondo l'art. 19-bis della legge 23 febbraio 2006, n. 51, di conversione del decreto legge 30
dicembre 2005, n. 273, il comma 2 dell'art. 58 del codice del consumo trova applicazione anche in
deroga alle disposizioni del codice della privacy.
Pag. 44
La tutela della privacy nelle attività di marketing e promozionali
PREMESSO
1. I DISAGI DI NUMEROSI UTENTI
Continuano a pervenire a questa Autorità diverse centinaia di reclami e
segnalazioni da parte di utenti di reti telematiche e di associazioni per la tute
la dei diritti di utenti e consumatori, che contestano la ricezione di messaggi di
posta elettronica per scopi promozionali, pubblicitari, di informazione commer
ciale o di vendita diretta, inviati senza che gli interessati abbiano manifestato
in precedenza il proprio consenso informato.
Numerosi interessati espongono anche ulteriori disagi derivanti dalla co
stante ripetizione di analoghi messaggi da parte di uno stesso mittente titolare
del trattamento, dai vani tentativi esperiti per ottenere sia la cancellazione del
proprio indirizzo di posta elettronica presso i mittenti, sia l’interruzione di altri
messaggi. Altre segnalazioni riguardano gli inconvenienti che derivano dalla
ricezione di e-mail anonime o prive dell’indicazione di un indirizzo, oppure del
le coordinate veritiere di un reale mittente.
Nella prevalenza dei casi, agli interessati non è stato previamente richie
sto, come dovuto, uno specifico consenso preceduto da un’idonea informati
va che illustri adeguatamente le modalità e le caratteristiche dei messaggi.
Pag. 45
La tutela della privacy nelle attività di marketing e promozionali
Pag. 46
La tutela della privacy nelle attività di marketing e promozionali
destinatario del messaggio, e anche quando gli indirizzi non sono registrati
dopo l’invio dei messaggi.
Questo assetto, basato su una scelta dell’interessato c.d. di opt-in, è sta
to ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una recente direttiva
comunitaria lo estendesse a tutti i Paesi dell’Unione europea (n. 2002/58/CE
in fase di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 lu
glio 2002).
Questa Autorità si è pronunciata più volte in materia ribadendo che la cir
costanza che gli indirizzi di posta elettronica possano essere reperiti con una
certa facilità in Internet non comporta il diritto di utilizzarli liberamente per in
viare messaggi pubblicitari (cfr., ra l’altro, la decisione dell’11 gennaio 2001 -
in Bollettino del Garante n. 16).
In particolare, i dati dei singoli utenti che prendono parte a gruppi di di
scussione in Internet sono resi conoscibili in rete per le sole finalità di parteci
pazione ad una determinata discussione e non possono essere utilizzati per
fini diversi qualora manchi un consenso specifico (art. 9, comma 1, lettere a)
e b), legge n. 675).
Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettroni
ca compresi nella lista “anagrafica” degli abbonati ad un Internet provider
(qualora manchi, anche in questo caso, un consenso libero e specifico), op
pure pubblicati su siti web di soggetti pubblici per fini istituzionali.
Tali considerazioni valgono anche con riferimento ai messaggi pubblicita
ri inviati a gestori di siti web -anche di soggetti privati- utilizzando gli indirizzi
pubblicati sugli stessi siti, o che sono reperibili consultando gli elenchi dei
soggetti che hanno registrato i nomi a dominio. In quest’ultimo caso, infatti, la
conoscibilità in rete degli indirizzi è volta a identificare il soggetto che è o ap
pare responsabile, sul piano tecnico o amministrativo, di un nome a dominio o
di altre funzioni rispetto a servizi Internet (per la tutela di vari diritti sul piano
civile e penale, anche ai sensi della legge n. 675) e non anche a rendere l’in
teressato disponibile all’invio di messaggi pubblicitari).
In tutti questi casi, l’utilizzo spesso massivo della posta elettronica com
porta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare
diverso tempo per mantenere un collegamento e per ricevere, come pure per
esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibi
li, nonché a sostenere i correlativi costi per il collegamento telefonico (incre
mentati anche da messaggi di dimensioni rilevanti che rallentano tali opera
zioni), oppure ad adottare “filtri”, a verificare più attentamente la presenza di
virus, o a cancellare rapidamente materiali inadatti a minori specie in ambito
domestico.
Il fenomeno interessa anche piccole e grandi imprese destinatarie di un
elevato numero di messaggi, le quali devono farsi carico di misure interne e
di costi anche organizzativi per contrastarlo.
Pag. 47
La tutela della privacy nelle attività di marketing e promozionali
Pag. 48
La tutela della privacy nelle attività di marketing e promozionali
Tale disciplina non può essere elusa inviando una prima e-mail che, nel
chiedere un consenso abbia comunque un contenuto promozionale oppure
pubblicitario, oppure riconoscendo solo un diritto di tipo c.d. “opt-out” al fine di
non ricevere più messaggi dello tesso tenore.
Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i
quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno
semplice conferma della sua manifestazione, attraverso un messaggio volto
unicamente ad annunciare il successivo inoltro di materiale pubblicitario.
Tale prassi, se utilizzata correttamente, consente tra l’altro di verificare l’effet
tiva corrispondenza dell’indirizzo di posta elettronica ai soggetti che avevano
espresso il consenso, nonché di accertare il permanere di tale volontà.
L’insieme dei diritti riconosciuti dalla legge agli utenti determina, in caso
di loro violazione, un trattamento illecito dei dati che:
• è già vietato direttamente dalla legge, senza che sia necessario
adottare uno specifico provvedimento interdittivo del Garante dell’auto
rità giudiziaria;- determina, a seconda dei casi, l’applicazione di sanzio
ni amministrative pecuniarie, in particolare per
• omessa informativa od omessa notificazione (artt. 10, 34 e 39 leg
ge n. 675; art. 12 d.lg. n. 185/1999);
• comporta il rimborso delle spese e dei diritti relativi al procedimen
to attivato da un fondato ricorso al Garante, oppure da un’azione di
nanzi al giudice civile, come pure il risarcimento dei danni, specie di
tipo patrimoniale, che derivino dai fatti illeciti e siano comprovati dall’in
teressato in relazione ai disagi sopra illustrati;
• rende applicabile anche una sanzione penale qualora il trattamen
to illecito dei dati sia effettuato al fine di trarne per sé o per altri un pro
fitto o per arrecare ad altri un danno, con la pena accessoria della pub
blicazione della sentenza di condanna (artt. 35e 38 legge n. 675).
Pag. 49
La tutela della privacy nelle attività di marketing e promozionali
2002/58/CE cit.)
5. MESSAGGI PER CONTO TERZI E ACQUISTO DI BANCHE DATI
Pag. 50
La tutela della privacy nelle attività di marketing e promozionali
I diritti vanno esercitati sulla base di tale modello direttamente presso l’in
dirizzo conoscibile del titolare o del responsabile del trattamento, riservando
solo ad un’eventuale momento successivo l’instaurazione di una procedura
contenziosa dinanzi al Garante o all’autorità giudiziaria.
Anche ai fini dell’esercizio di tali diritti, deve ritenersi che l’invio anonimo
di messaggi pubblicitari senza l’indicazione di un mittente identificabile con
creti già oggi un trattamento illecito di dati personali, a prescindere da quanto
dispone il citato d.lg. n. 70/2003 sul commercio elettronico (come si è visto,
fuori della materia della protezione dei dati personali) e da quanto, in riferi
mento ai dati personali, sarà previsto con il recepimento della direttiva n.
2002/58/CE (la quale non consente l’invio di messaggi pubblicitari quando l’i
dentità del mittente viene camuffata o addirittura celata e quando non viene
fornito un indirizzo valido che consenta al destinatario di richiedere la cessa
zione delle comunicazioni: art. 13, par. 4, dir. cit.).
I mittenti dei messaggi devono quindi indicare già oggi, in modo chiaro, la
fonte di provenienza del messaggio, nonché il soggetto e l’indirizzo –non solo
di posta elettronica- presso cui i destinatari possono esercitare i propri diritti
(si veda, in proposito, l’art. 10, comma 1, lett. f) della legge n. 675). Appare
altresì conforme al principio di correttezza indicare nell’oggetto del messaggio
la sua tipologia pubblicitaria-commerciale (art. 9, comma 1, lett. a), legge n.
675).
7. ELENCHI DI POSSIBILI DESTINATARI
Pag. 51
La tutela della privacy nelle attività di marketing e promozionali
Pag. 52
La tutela della privacy nelle attività di marketing e promozionali
IL PRESIDENTE
Rodotà
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli
Pag. 53
La tutela della privacy nelle attività di marketing e promozionali
Pag. 54
La tutela della privacy nelle attività di marketing e promozionali
Pag. 55
La tutela della privacy nelle attività di marketing e promozionali
Pag. 56
La tutela della privacy nelle attività di marketing e promozionali
Sms pubblicitari non siano inviati arrecando disturbo agli interessati in ore
notturne (art. 9, comma 1, lett. a), legge n. 675/1996).
3. SMS INVIATI DA ALTRI SOGGETTI
Il principio del “consenso informato” opera anche nel diverso caso in cui
gli Sms pubblicitari siano inviati da altri soggetti. Può trattarsi in particolare di
ulteriori fornitori di servizi di comunicazione elettronica (es.: gestori di siti web
che offrano la possibilità di disporre “gratuitamente” di una casella di posta
elettronica o del servizio di invio “gratuito” di Sms tramite p.c.), come pure di
soggetti che svolgono attività in altri campi, basate sulla formazione di ban
che dati di utenti e consumatori, raccolti ad esempio tramite coupon.
Tutti questi titolari del trattamento, sia nel caso di utilizzazione dei dati nel
proprio esclusivo interesse, sia nel caso – in crescente sviluppo - di invio di
Sms per conto terzi, possono inviare anch’essi Sms pubblicitari solo sulla
base di una chiara, specifica e preventiva manifestazione di volontà degli in
teressati. Ciò anche nel caso in cui (come ribadito dal Garante anche nel cita
to provvedimento in materia di Sms per fini istituzionali), l’Sms venga inviato
su richiesta di una pubblica amministrazione che, per divulgare messaggi rite
nuti di pubblico interesse, si rivolga a una banca dati gestita da privati.
Sempre in riferimento a questi casi in cui coloro che inviano Sms pubbli
citari non prestano direttamente il servizio di telefonia mobile legato all’appa
recchio cellulare, è necessario rilevare la necessità che il consenso degli inte
ressati sia “specifico” (art. 11 legge cit.).
La manifestazione di volontà deve evidenziare con chiarezza la tipologia
degli Sms pubblicitari che possono essere inviati da chi ha raccolto il consen
so, considerata la tipologia ampia di messaggi i quali possono essere talvolta
riferiti ad eventi politici senza che l’interessato ne sia stato consapevole, es
sendo stato informato in modo generico e avendo sottoscritto una vaga di
chiarazione di consenso.
In caso di prevista cessione di elenchi di numeri telefonici a terzi, finaliz
zata all’invio degli Sms pubblicitari da parte di questi ultimi, tale circostanza
va esplicitata in origine agli interessati, e con precisione, evitando poi di adot
tare artifizi illeciti ed elusivi come quello della formale (ma sostanzialmente
inesistente) designazione dei medesimi terzi quali asseriti “responsabili del
trattamento” dei dati personali ai sensi dell’art. 8 della citata legge, specie nei
casi in cui i terzi perseguano ben altre finalità.
La necessità di estendere la tutela degli interessati contro le descritte in
terferenze nella sfera privata va considerata, con riferimento al rapporto sot
tostante al trattamento dei dati personali, anche in base alla normativa sulla
protezione dei consumatori nei contratti a distanza. Quest’ultima vieta infatti
ai fornitori l’impiego di tecniche di comunicazione quale il telefono, la posta
elettronica, il fax e altri sistemi automatizzati di chiamata senza l’intervento di
un operatore, in mancanza del consenso preventivo del consumatore. Ciò nel
Pag. 57
La tutela della privacy nelle attività di marketing e promozionali
contesto del rapporto finalizzato alla conclusione del contratto tra fornitore e
consumatore ed in relazione a determinati scopi tra i quali vi rientrano anche
quelli pubblicitari (art. 10 d.lg. 2 maggio 1999, n. 185).
Un discorso a parte va formulato per il caso in cui gli Sms siano inviati da
organismi politici o da terzi, a destinatari selezionati in ragione della loro ade
sione a determinate idee o formazioni politiche: in tal caso, infatti, oltre al con
senso necessariamente scritto degli interessati, occorre verificare se il tratta
mento sia lecito in base alle autorizzazioni “generali” al trattamento dei dati
sensibili rilasciate dal Garante (e pubblicate, oltre che nella Gazzetta ufficiale
della Repubblica italiana, nel menzionato sito web dell’Autorità).
4. GENERAZIONE CASUALE DI NUMERI TELEFONICI
Va altresì rilevato che i principi richiamati nel presente provvedimento
trovano applicazione anche nei confronti dei soggetti che inviino Sms pubbli
citari senza estrarre le utenze telefoniche da un’apposita banca dati, bensì
sulla base di una composizione casuale o automatizzata di numeri che pre
scinda da una verifica della loro esistenza o attivazione.
5. TUTELA DEI DIRITTI DEGLI INTERESSATI
Gli interessati possono esercitare tutti i diritti previsti dall’art. 13 della leg
ge n. 675/1996 tra cui spicca il diritto di accedere ai dati trattati dal titolare, di
conoscere l’origine dei dati, di chiederne la cancellazione in caso di illecito
trattamento, ecc., anche rispetto agli Sms commerciali e pubblicitari, se del
caso revocando il consenso già prestato od opponendosi gratuitamente, an
che in parte, al trattamento dei dati personali per fini di informazione commer
ciale, di invio di materiale pubblicitario o di vendita diretta, ovvero per il com
pimento di ricerche di mercato o di comunicazione commerciale interattiva.
L’esercizio di tali diritti, a seconda del genere di rapporto contrattuale, è con
sentito anche quando gli Sms siano inviati nel quadro della fornitura “gratuita”
di servizi.
Alcune richieste come quelle di accesso ai dati personali o di conoscere
come questi sono stati raccolti, possono essere rivolte senza particolari for
malità, anche verbalmente, ad un servizio di call center documentando la pro
pria identità (art. 17, commi 1 e 2, d.P.R. n. 501/1998). Per queste e per altre
richieste si può consultare il fac-simile Formato PDF Formato Word ripor
tati sul predetto sito web .
6. CONSIDERAZIONI CONCLUSIVE
Sono in fase di definizione i singoli procedimenti per la contestazione di
specifiche violazioni amministrative anche in materia di informativa, ove ne ri
corrano i presupposti, e per trasmettere, se del caso, gli atti all’autorità giudi
ziaria penale, per la violazione dei richiamati obblighi in materia di informativa
e consenso, in relazione a trattamenti illeciti di cui va altresì disposto, in que
sta sede, un generale divieto ai sensi della disposizione citata nel dispositivo
Pag. 58
La tutela della privacy nelle attività di marketing e promozionali
che segue.
Il Garante si riserva di segnalare altri profili una volta completata, a breve
termine, l’attuazione della disciplina in itinere sulla formazione degli elenchi
della telefonia mobile e per l’esercizio dei diritti degli interessati, nonché
quando sarà recepita la direttiva n. 2002/58/CE del Parlamento europeo e
del Consiglio, la quale si occupa specificamente degli Sms pubblicitari e inter
viene su altri aspetti relativi alle chiamate e alle comunicazioni, permettendo
peraltro ad alcuni fornitori di adottare un sistema parzialmente diverso limita
tamente all’offerta a propri clienti di prodotti o servizi analoghi a quelli già pre
stati.
Nel frattempo, tutti i titolari del trattamento interessati devono continuare
ad attenersi ai principi richiamati nel presente provvedimento, il cui rispetto è
doveroso anche alla luce delle sanzioni amministrative e penali in materia.
IL PRESIDENTE
Rodotà
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli
Pag. 59
La tutela della privacy nelle attività di marketing e promozionali
Pag. 60
La tutela della privacy nelle attività di marketing e promozionali
scritti da leggi o regolamenti in altri ambiti (ad es., dal d.P.R. 26 ottobre 2001,
n. 430, in materia di concorsi, operazioni a premio e manifestazioni di sorte).
Il rilascio delle carte (spesso preceduto dalla compilazione di un modulo
di adesione e di un questionario), e la loro utilizzazione (che determina la re
gistrazione di acquisti di beni e servizi), comportano un trattamento dei dati
personali dei clienti e, a volte, dei loro familiari.
Accanto a dati anagrafici e recapiti anche di posta elettronica, sono spes
so raccolte altre informazioni relative al cliente o a suoi familiari, non neces
sarie per attribuire i vantaggi collegati alla carta (titolo di studio, professione,
interessi, abitudini, preferenze, modalità di acquisti, ecc.).
Tali informazioni vengono di frequente trattate unitariamente, per finalità
diverse che richiedono quindi modalità differenziate; non di rado, è fornita
solo un'informativa generica che descrive i trattamenti in modo non adeguata
mente distinto.
Le analisi svolte sulle abitudini e scelte di consumo presentano rischi per
gli interessati, anche quando i dati non sono comunicati a terzi.
Consumatori, relativi nuclei familiari ed altre persone da essi indicati, ri
cevendo i vantaggi legati alla fidelizzazione, sono monitorati in dettaglio nei
loro comportamenti, vengono profilati anche all'interno di specifiche banche
dati centrali o locali e fatti oggetto di raffronto con altri clienti, senza esserne
peraltro consapevoli non avendo ricevuto un'adeguata informativa.
Si definiscono anche profili individuali o di gruppo (segmenti di clientela
con caratteristiche omogenee, c.d. cluster), ovvero propensioni al consumo,
senza che gli interessati vi abbiano potuto acconsentire sulla base di informa
zioni chiare e specifiche. L'acquisto di beni e di servizi può persino determina
re, in talune circostanze particolari, la raccolta di dati di natura sensibile, il cui
trattamento non è di regola consentito per le finalità in esame.
A ciò si aggiungono eventuali contatti diretti con la clientela per operazio
ni di marketing, comunicazioni commerciali o pubblicitarie, vendite dirette o
per ricerche di mercato, effettuati da chi rilascia la carta o da terzi.
Attesa la crescente diffusione del fenomeno, e a garanzia degli interessa
ti, il Garante prescrive ai titolari del trattamento di adottare alcune misure ne
cessarie od opportune al fine di conformare i trattamenti alle vigenti disposi
zioni in materia di protezione dei dati personali (art. 154, comma 1, lett. c), del
Codice).
2. Necessità e proporzionalità
Le seguenti prescrizioni sono impartite tenendo conto delle distinzioni re
lative alle tre principali finalità indicate (fidelizzazione in senso stretto, realiz
zata attribuendo i vantaggi cui si è fatto cenno; profilazione mediante analisi
di abitudini e scelte di consumo; marketing diretto), che rendono necessario
diversificare le modalità del trattamento, in particolare per quanto riguarda le
Pag. 61
La tutela della privacy nelle attività di marketing e promozionali
Pag. 62
La tutela della privacy nelle attività di marketing e promozionali
Pag. 63
La tutela della privacy nelle attività di marketing e promozionali
Pag. 64
La tutela della privacy nelle attività di marketing e promozionali
Pag. 65
La tutela della privacy nelle attività di marketing e promozionali
Pag. 66
La tutela della privacy nelle attività di marketing e promozionali
trattamenti di dati da essi effettuati sono conformi alle prescrizioni del presen
te provvedimento, indicando ogni informazione utile al riguardo ed allegando
la pertinente documentazione.
TUTTO CIÒ PREMESSO, IL GARANTE
prescrive ai titolari di trattamenti di dati personali oggetto del presente
provvedimento, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adotta
re le misure necessarie ed opportune ivi indicate al fine di rendere i tratta
menti medesimi conformi alle disposizioni vigenti.
Roma, 24 febbraio 2005
IL PRESIDENTE
Rodotà
IL RELATORE
Rasi
IL SEGRETARIO GENERALE
Buttarelli
Pag. 67
La tutela della privacy nelle attività di marketing e promozionali
Pag. 68
La tutela della privacy nelle attività di marketing e promozionali
È altresì emerso che sia nei modelli utilizzati dalla società Ticketone, sia
in quelli resi disponibili nel sito web sopra richiamato, viene richiesto il con
senso dell'interessato per "l'adempimento della Sua richiesta scritta di preno
tazione/acquisto dei biglietti relativi agli eventi previsti nell'ambito dei Giochi
Torino 2006".
Inoltre, nel modello di raccolta del consenso utilizzato da Ticketone, alla
formula appena indicata viene associata, sottoponendola ad un'unica accetta
zione da parte dell'interessato, anche l'autorizzazione al compimento di attivi
tà pubblicitarie o comunque promozionali da parte del Toroc. La relativa infor
mativa, resa succintamente, può essere visionata nella sua versione integrale
solo accedendo ad un testo disponibile on-line all'indirizzo web www.tori
no2006.org/tickets al quale è fatto espressamente rinvio nel modello utilizzato
dal rivenditore (che peraltro "viene trattenuto presso il punto vendita").
In relazione, invece, al modello di raccolta dei dati presente nel sito web
da compilarsi in occasione della prenotazione/acquisto del biglietto, gli accer
tamenti effettuati evidenziano la "preselezione" (che appare automaticamente
in occasione della compilazione del form) delle caselle nelle quali viene reso il
consenso non solo per l'esecuzione degli obblighi contrattuali, ma anche per
finalità ulteriori e distinte rispetto a questa, ed in particolare per le finalità pub
blicitarie o comunque promozionali.
In entrambi i modelli sopra richiamati è altresì prevista la possibilità di
fare uso di particolari tecniche di comunicazione, quali la posta elettronica o
l'utenza di telefonia mobile, ai fini di invio di materiale pubblicitario o promo
zionale da parte del Toroc (o di terzi).
3. Alla luce della documentazione acquisita e tenuto conto delle osserva
zioni formulate dal Toroc (nelle comunicazioni del 12 maggio 2005 e 22 set
tembre 2005), questa Autorità ravvisa taluni profili di violazione della discipli
na vigente in relazione al trattamento dei dati personali effettuato nell'ambito
del servizio di biglietteria e pertanto, ai sensi dell'art. 154, comma 1, lett. c),
del Codice intende prescrivere con il presente provvedimento le misure ne
cessarie al fine di rendere i trattamenti di seguito indicati conformi alle dispo
sizioni contenute nel Codice.
In particolare, al di là della possibilità di prescindere dalla richiesta del
consenso nella modellistica della quale Toroc si avvale per la
"prenotazione/acquisto dei biglietti relativi agli eventi previsti nell'ambito dei
Giochi Torino 2006" –atteso il contenuto dell'art. 24, comma 1, lett. b) del Co
dice–, profili di illiceità emergono, per ragioni diverse, rispetto alla formulazio
ne del consenso e della connessa informativa (aspetti non di rado strettamen
te collegati, come pure si è evidenziato nel provvedimento a carattere gene
rale del 13 gennaio 2000, in Boll. n. 11-12/2000, p. 39, 43, con riferimento al
l'effetto di un'informativa incompleta sul consenso).
Pag. 69
La tutela della privacy nelle attività di marketing e promozionali
Pag. 70
La tutela della privacy nelle attività di marketing e promozionali
ta ai sensi dell'art. 13, comma 1, lett. b) del Codice), in grado di inficiare an
che da questo punto di vista il consenso dell'interessato (per analogo rilievo
v. già Provv. 28 maggio 1997, in Boll. 1/1997, p. 11, 12).
Affinché il trattamento di dati personali sia legittimo è quindi necessario –
salvo che ricorrano le circostanze previste dall'art. 24 del Codice– che il con
senso dell'interessato possa essere autonomamente prestato per ciascuna
distinta finalità perseguita dal titolare del trattamento (come peraltro già affer
mato, con riguardo ai trattamenti di dati personali effettuati nell'ambito dei
programmi di fidelizzazione, nel Provv. del 24 febbraio 2005, consultabile in
http://www.garanteprivacy.it) e che l'informativa, resa in un unico contesto,
contenga tutte le informazioni previste dall'art. 13 del Codice.
3.2. Con specifico riguardo al modello di raccolta del consenso reso di
sponibile sul sito web, per quanto (diversamente dal caso appena esaminato)
siano chiaramente distinte le finalità per le quali il trattamento dei dati perso
nali viene effettuato (segnatamente, quelle relative all'esecuzione del contrat
to e quelle relative alla finalità di marketing), il consenso dell'interessato non è
prestato "liberamente", atteso che (come descritto sopra e confermato nel te
sto inviato dal Toroc nell'allegato 2, comunicazione del 22 settembre 2005)
sono "preselezionate", anziché lasciate alla libera scelta dell'utente, le distinte
opzioni relative al trattamento di dati personali connesse all'esecuzione del
rapporto contrattuale e allo svolgimento di attività di comunicazione commer
ciale.
È dunque necessario che i sistemi informativi del sito web vengano confi
gurati in modo da consentire all'interessato di esplicare pienamente il proprio
diritto all'autodeterminazione informativa, prevedendo opzioni di tipo "positivo"
(mediante l'inserimento di caselle da selezionare e non preselezionate su una
delle possibili scelte), sì da consentire all'utente di esprimere liberamente la
propria scelta in ordine alle finalità legittimamente perseguibili da parte del ti
tolare del trattamento (cfr. pure Provv. 13 gennaio 2000, in Boll. n. 11-
12/2000, p. 43).
3.3. Entrambi i modelli prevedono altresì, a vantaggio del Toroc, la possi
bilità di fare uso anche di particolari canali per veicolare le comunicazioni
commerciali, quali la posta elettronica o l'utenza del telefono cellulare. Preci
sato che, qualora si intenda fare uso di tali forme di comunicazione –salvo
quanto previsto all'art. 130, comma 4 del Codice, che contiene regole partico
lari per l'offerta di taluni servizi tramite posta elettronica– è posto in capo al ti
tolare del trattamento l'obbligo di acquisire il preventivo consenso dell'interes
sato (artt. 130 del Codice e 10 d.lg. 22 maggio 1999, n. 185), il medesimo art.
130, comma 4, richiede che questi, al momento della raccolta dei dati (e in
occasione dell'invio di ogni comunicazione effettuata per le menzionate finali
tà), sia "informato della possibilità di opporsi in ogni momento al trattamento,
in maniera agevole e gratuitamente". Tale avviso non ricorre nei modelli utiliz
zati dal Toroc: è dunque necessario che questi ultimi vengano integrati con
Pag. 71
La tutela della privacy nelle attività di marketing e promozionali
tale avvertenza.
4. Anche con riguardo ai dati personali raccolti nel sito web www.tori
no2006.org, per una diversa finalità, vale a dire l'invio di una o più newsletter,
l'informativa resa ("I dati saranno trattati secondo quanto previsto dalla legge
675/96 a tutela della riservatezza dei dati personali") evidenzia, sotto diversi
aspetti, profonde carenze: al di là dell'erroneo riferimento alla disciplina di
protezione dei dati personali ormai abrogata, la formulazione utilizzata si at
teggia a mera clausola di stile nella quale larga parte delle informazioni richie
ste dall'art. 13 del Codice risultano mancanti (eccettuata la finalità del tratta
mento, consistente nell'invio della newsletter, che si evince indirettamente dal
contesto nel quale i dati vengono raccolti).
Anche a questo proposito è infine necessario che l'informativa (e la relati
va manifestazione di consenso dell'interessato) vengano integrate in confor
mità alla previsione contenuta nell'art. 13 del Codice.
PER QUESTI MOTIVI IL GARANTE:
• prescrive al Toroc, ai sensi dell'art. 154, comma 1, lett. c), del Co
dice, di adottare le misure necessarie ed opportune indicate nel pre
sente provvedimento al fine di rendere i trattamenti di dati personali
conformi alle disposizioni vigenti, apportando le necessarie modifiche
alla documentazione descritta e tenendo conto del fatto che, limitata
mente al perseguimento delle finalità di comunicazione pubblicitaria o
promozionale, non potranno essere utilizzate, ai sensi dell'art. 11, com
ma 2 del Codice, le dichiarazioni di consenso al trattamento dei dati
già formulate dagli interessati, ferma restando, quindi, l'utilizzabilità dei
dati per la finalità di acquisto e recapito dei biglietti;
• prescrive, altresì, ai sensi degli artt. 154, comma 1, lett. c), e 157
del Codice di trasmettere al Garante un esemplare dei modelli riformu
lati in conformità delle predette prescrizioni entro il 30 novembre 2005.
Roma, 12 ottobre 2005
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli
Pag. 72
La tutela della privacy nelle attività di marketing e promozionali
Pag. 73
La tutela della privacy nelle attività di marketing e promozionali
IL PRESIDENTE
Pizzetti
IL RELATORE
Chiaravalloti
IL SEGRETARIO GENERALE
Pag. 74
La tutela della privacy nelle attività di marketing e promozionali
Buttarelli
Pag. 75
La tutela della privacy nelle attività di marketing e promozionali
Pag. 76
La tutela della privacy nelle attività di marketing e promozionali
a) cancellato i dati relativi alla sig.a YW e al figlio YZ, nato il YK, con
cernenti l'abbonamento gratuito alla rivista "Io e il mio bambino" edita da Sfe
ra;
b) acquisito tali dati attraverso una cartolina postale ricevuta e regi
strata il 1° agosto 1999 (comunicata in copia all'Autorità), contenente un mo
dello di informativa ai sensi dell'art. 10 della legge n. 675/1996 e una richiesta
di consenso dell'interessato del seguente tenore: "se non desideri ricevere
successivi invii di campioni gratuiti e di informazioni scientifiche o commercia
li, contrassegna con X la casella";
c) comunicato i dati a Prenatal, quale inserzionista della rivista, non
ché ad altre società designate quali responsabili del trattamento.
1.2. Il 18 gennaio 2002, in occasione della nascita del secondo figlio, i
coniugi YX hanno segnalato al Garante di aver ricevuto ulteriore materiale
editoriale proveniente da Sfera, rinnovando le proprie richieste volte a cono
scere la natura, la tipologia e l'origine dei dati e chiedendone nuovamente la
cancellazione.
Nella risposta del 29 gennaio 2002 inviata ai segnalanti e per conoscen
za al Garante, Sfera dichiara di aver utilizzato per l'invio del materiale promo
zionale di cui sopra i dati precedentemente raccolti in quanto, "pur essendo
stati cancellati, [i medesimi] sono presenti nel […] data base storico con l'an
notazione della […] volontà [dei segnalanti] di non essere contattati".
Nella medesima comunicazione Sfera, con l'intento di giustificare il pro
prio comportamento, sosteneva che "la nascita di un figlio è un fatto inevita
bilmente pubblico" e che a tale pubblicità contribuiscono gli stessi genitori che
"annunciano l'evento ponendo un fiocco sulla porta di casa" o diffondono il
nome del nato attraverso la stampa locale, asserendo così che, "salvo casi
particolari, la nascita non è pertanto un dato personale sul quale possa pre
sumersi una situazione di segretezza o di riservatezza tale da inibirne in
modo assoluto la comunicazione e, addirittura, la diffusione". La società affer
mava di voler svolgere indagini più approfondite sull'invio del materiale non ri
chiesto, ma l'esito di tali asseriti accertamenti non è stato comunicato al Ga
rante.
1.3. Considerata l'inidoneità degli elementi forniti da Sfera in ordine alla li
ceità del trattamento, il Garante ha disposto, con deliberazione 24 giugno
2003, n. 13, ulteriori accertamenti ai sensi dell'art. 32, comma 2, della legge
n. 675/1996 in ordine al trattamento effettuato da Sfera dei dati relativi a don
Pag. 77
La tutela della privacy nelle attività di marketing e promozionali
Pag. 78
La tutela della privacy nelle attività di marketing e promozionali
4).
2.3. I dati raccolti da Sfera confluiscono in tre data-base denominati:
a) "prima infanzia", contenente i dati acquisiti mediante le procedure
appena descritte;
b) "rivista Cipria", relativo a dati acquisiti attraverso coupon pubblicati
sulla omonima rivista;
c) "vendite dirette", concernente i dati acquisiti sulla base di vendite di
rette.
Nel data-base "prima infanzia" –rispetto al quale sono stati effettuati gli
accertamenti sopra menzionati, anche al fine di verificare la presenza di dati
riferiti ai segnalanti– sono registrate le informazioni raccolte mediante la distri
buzione dei coupon ad opera dei promotori; esso consta di circa 2.700.000
anagrafiche di soggetti i cui dati sono stati registrati a partire dall'anno 1992.
3. Le attività svolte dai "promotori"
3.1. I "promotori" sono collaboratori professionali di Sfera legati alla so
cietà da un contratto che prevede una remunerazione in parte fissa e in parte
legata al numero dei coupon compilati e delle strutture sanitarie contattate.
Con riferimento ai compiti attribuiti da Sfera alla figura del "promotore", dai
predetti accertamenti è emerso che le attività da questi poste in essere consi
stono:
• nell'individuazione, tra il personale operante presso le strutture sa
nitarie, di persone denominate "referenti";
• nella consegna ai "referenti" di coupon con i quali gli interessati
(come detto, per lo più donne in stato di gravidanza e puerpere) pos
sono richiedere l'abbonamento gratuito alla rivista "Io e il mio
bambino";
• nell'illustrazione ai "referenti" della condotta da tenere nei confronti
dei soggetti chiamati a compilare i coupon;
• nel "vigilare per evitare, per quanto possibile, la compilazione delle
cartoline per la sottoscrizione di abbonamenti trimestrali gratuiti da par
te di persone che vogliano approfittare delle offerte gratuite della so
cietà o vogliano effettuare scherzi a danni di inconsapevoli soggetti di
loro conoscenza" (v. memoria integrativa contenente dichiarazioni
spontanee di Sfera, dell'11 febbraio 2004, p. 3);
• nella verifica in ordine alla corretta distribuzione, presso le struttu
re sanitarie di propria "competenza", del materiale sopra menzionato e
dell'ulteriore materiale promozionale (ad esempio "cofanetti" e guide)
distribuito direttamente da Sfera;
Pag. 79
La tutela della privacy nelle attività di marketing e promozionali
Pag. 80
La tutela della privacy nelle attività di marketing e promozionali
Pag. 81
La tutela della privacy nelle attività di marketing e promozionali
Pag. 82
La tutela della privacy nelle attività di marketing e promozionali
Pag. 83
La tutela della privacy nelle attività di marketing e promozionali
motori è stato integrato con le linee-guida per il trattamento" (cfr. verbale del
22 dicembre 2003, p. 5).
La società ha precisato che "i dati definiti come non spontanei vengono
trattati con cautele aggiuntive che portano a chiedere all'interessata di confer
mare il suo interesse a ricevere il materiale editoriale e, in caso di risposta
negativa o anche semplicemente di mancata risposta la società, nel pieno ri
spetto del principio del consenso espresso dall'interessato su cui si fonda
questa attività in base alla normativa, sospende precauzionalmente qualsiasi
trattamento dei dati stessi" (memoria integrativa di Sfera, cit., p. 6; cfr. anche
la nota di riscontro di Sfera del 18 maggio 2001, cit.).
6. Archiviazione e attività di tele-marketing per i dati contenuti nei coupon
c.d. "non spontanei"
6.1. Sulla base di quanto dichiarato da Sfera in sede ispettiva, è emerso
che i coupon, una volta riconsegnati dai "promotori", vengono affidati a Kality
pe s.n.c. e D.S.Z. s.a.s. di Milano per le operazioni di data-entry nel data-
base principale di Sfera.
A seguito di un esame sommario dei coupon così raccolti, volto a verifi
care la completezza dei dati, vengono registrati nel data-base soltanto i dati
riportati nelle cartoline contenenti il numero telefonico e la sottoscrizione del
l'interessato.
Le cartoline classificate come "non spontanee" sono invece trasmesse a
Telecontatto S.p.a., che provvede a reperire i numeri telefonici degli interes
sati per rendere possibile la successiva attività di tele-marketing da parte di
Sfera. A questo proposito Sfera ha dichiarato che al momento del contatto te
lefonico l'operatore incaricato "provvede ad acquisire il consenso al tratta
mento dei dati personali […] con lettura integrale, all'interessato, dell'informa
tiva".
7. Le istanze ex art. 7 del Codice e le verifiche in ordine a YW
Negli accertamenti presso Sfera si è anche verificato il trattamento dei
dati personali relativi ai componenti della famiglia YX, in relazione alla proce
dura seguita per dare corso alle richieste di cancellazione dei dati relativi a
coloro che revocano il consenso o che si oppongono al trattamento.
I predetti dati risultano presenti nel data-base sotto il nominativo della
sig.a "YW" (sebbene il nominativo risulti errato, come evidenziato nel coupon
a suo tempo esibito dalla società). In relazione a tale nominativo è presente
un c.d. "vincolo di utilizzo" denominato "blocco permanente su richiesta per
sona". I dati della sig.a YW risultano essere stati acquisiti in due circostanze,
"rispettivamente in data 2 agosto 1999, attraverso il coupon della rivista "Io &
il mio bambino" […] e in data 1° giugno 2001, attraverso un coupon "Ospeda
li"" (cfr. verbale del 22 dicembre 2003, p. 5).
Pag. 84
La tutela della privacy nelle attività di marketing e promozionali
Con riguardo poi alle richieste di cancellazione dei dati o alle opposizioni
al trattamento, la società ha dichiarato di aver modificato la relativa procedura
(che in una prima fase prevedeva la estromissione del relativo record dal
data-base) creando un'apposita black list formata dai nominativi e dai codici
di avviamento postale di residenza degli interessati che non desiderano rice
vere comunicazioni da Sfera.
8. Trattamenti effettuati da Sfera e protezione dei dati: in particolare, la
mancata designazione di responsabili e incaricati
8.1. La complessa vicenda descritta è di seguito esaminata per ciò che
concerne la liceità e la correttezza del trattamento dei dati, profili questi di
competenza del Garante.
Vanno preliminarmente qualificate dal punto di vista della protezione dei
dati le attività svolte da "promotori" e "referenti" nell'interesse di Sfera, titolare
del trattamento sopra descritto.
Dalla ricostruzione delle attività svolte e degli impegni contrattualmente
assunti da soggetti esterni quali i "promotori", la figura di questi ultimi (che pe
raltro non sono sempre persone fisiche) non risulta qualificabile alla mera
stregua di semplici "incaricati del trattamento".
Il grado di autonomia del "promotore" in ordine alle modalità da osservare
nel trattamento dei dati, così come prefigurata dalle clausole contrattuali che
regolano il rapporto di collaborazione coordinata e continuativa con la società,
risulta infatti alquanto ampio ancorché all'interno delle direttive impartite da
Sfera ("Sintesi delle linee guida che regolano la raccolta dei dati personali da
parte della società Sfera Editore s.p.a.", allegata al contratto di collaborazio
ne).
Va pertanto prescritto a Sfera, ai sensi dell'art. 154, comma 1, lett. c ),
del Codice, di provvedere alla necessaria designazione dei promotori di cui
intenda continuare ad avvalersi quali "responsabili", anziché "incaricati" del
trattamento, in conformità a quanto previsto dagli artt. 4 e 29 del Codice.
8.2. Dagli atti non risulta che Sfera, pur sussistendone i presupposti e la
necessità, abbia designato quale "responsabile del trattamento", salva la so
cietà Kalitype –la quale comunque non risulta aver provveduto a designare
quali incaricati del relativo trattamento i propri dipendenti (cfr. verbale del 22
dicembre 2003, p. 4)– le società Telecontatto e D.S.Z., né tale designazione
è stata a tutt'oggi comunicata al Garante.
Il trattamento dei dati presso tali società non risulta quindi dagli atti effet
tuato in conformità ai necessari requisiti di liceità (artt. 4, 30, 33 e All. B del
Codice).
La prescrizione di cui al punto 8.1. va quindi impartita dal Garante anche
in relazione all'attività di tali società, oltre alla trasmissione degli atti e di copia
del presente provvedimento all'autorità giudiziaria per le valutazioni di compe
Pag. 85
La tutela della privacy nelle attività di marketing e promozionali
tenza in ordine alla non risultante adozione delle misure minime di sicurezza
previste dal predetto All. B al Codice (art. 169 del Codice).
8.3. Sono emersi profili critici anche in relazione alla qualificazione, dal
punto di vista della disciplina di protezione dei dati personali, dei comporta
menti materiali posti in essere dai "referenti" che, a titolo diverso, hanno con
sentito (o tollerato) o, ancora, effettuato direttamente un'attività di distribuzio
ne dei coupon e di loro raccolta e conservazione una volta compilati, con
eventuale partecipazione diretta anche alla loro redazione, prestando assi
stenza agli interessati, o finanche sostituendosi (a loro insaputa) ai medesimi.
Queste attività, basate su una distribuzione alquanto capillare dei "refe
renti" nell'ambito delle strutture sanitarie interessate agli accertamenti, sono
operazioni di trattamento di dati personali (art. 4, comma 1, lett. a ) del Codi
ce).
L'attività dei "referenti", per le modalità attraverso le quali trova regolare
attuazione, lungi dal caratterizzarsi per la saltuarietà e l'occasionalità dell'ap
porto fornito per il trattamento dei dati, denota infatti una continuità nell'impe
gno assunto dai "referenti" con i "promotori" (e la società), rappresentando un
elemento indefettibile ed imprescindibile per la buona riuscita delle operazioni
di raccolta dei dati finalizzate al marketing da parte di Sfera.
Né, tenendo conto dell'attribuzione dei benefici sopra descritti al punto
4.2., tale attività si caratterizza per disinteresse e spontaneità, come le dichia
razioni della società vorrebbero far intendere (cfr. memoria integrativa di Sfe
ra, cit., p. 4, secondo cui le cartoline possono anche "essere raccolte con
l'assistenza spontanea del personale ospedaliero […], che si premura di di
stribuire le cartoline. A tale riguardo va precisato […] che non è infrequente
che lo stesso personale ospedaliero agevoli la diffusione del materiale distri
buito e questo per un comprensibile elemento di carattere psicologico (risulta
infatti moralmente gratificante consentire alla neo-mamma di ricevere gratui
tamente materiale di pregio e di immediata utilità)".
Tali elementi, valutati nelle concrete modalità di svolgimento delle opera
zioni di raccolta, inducono a rinvenire nei "referenti" l'ultimo, ma vitale, anello
della catena di cui Sfera si avvale per la raccolta (e, talora, la "generazione",
nel caso delle c.d. cartoline non spontanee) delle informazioni personali.
I "referenti" non risultano aver assunto questo compito in termini leciti in
rapporto alle funzioni che i medesimi possono svolgere nelle strutture pubbli
che e private di appartenenza in corrispondenza dell'esecuzione della presta
zione lavorativa (non constando, dagli atti acquisiti, che l'attività svolta per
Sfera fosse prevista da convenzioni legittimamente sottoscritte dalle strutture
sanitarie o consentita da atti autorizzativi interni).
Oltre agli altri aspetti di illiceità e non correttezza del trattamento legati a
talune modalità di concreta informativa e compilazione dei coupon, non risulta
altresì che i "referenti" abbiano trattato legittimamente i dati nella qualità di
Pag. 86
La tutela della privacy nelle attività di marketing e promozionali
Pag. 87
La tutela della privacy nelle attività di marketing e promozionali
Pag. 88
La tutela della privacy nelle attività di marketing e promozionali
Pag. 89
La tutela della privacy nelle attività di marketing e promozionali
Anche sotto questo profilo, oltre a quanto già affermato nel punto 8.3. ed
estendendo al punto in esame sia la prescrizione di cui al punto 9.3., sia il di
vieto di trattamento dei dati già trattati in modo illecito e non corretto, va rile
vato, ai sensi dell'art. 11, comma 2, del Codice, che i dati trattati sono inutiliz
zabili.
10. Procedure di cancellazione ed opposizione al trattamento
In ordine alle procedure adottate da Sfera per garantire un esatto adem
pimento alle istanze presentate dagli interessati ai sensi degli artt. 7 e 8 del
Codice (cfr. punto 7), la società, in caso di opposizione al trattamento ai sensi
dell'art. 7, comma 4, lett. b), del Codice, non è tenuta a cancellare i dati, es
sendo a tal fine sufficiente adottare un sistema (ad esempio mediante apposi
te black list ) che consenta di impedire l'ulteriore trattamento di tali dati per le
finalità oggetto dell'opposizione (invio di materiale pubblicitario, vendita diret
ta, compimento di ricerche di mercato, comunicazione commerciale).
Al contrario, diversamente da quanto risulta effettuato da Sfera, la richie
sta di cancellazione di dati dell'interessato comporta (quando sussistono i
presupposti previsti nell'art. 7, comma 3, lett. b), del Codice, ossia la violazio
ne di legge o l'esaurimento degli scopi per i quali sono stati raccolti) la neces
saria eliminazione definitiva dei medesimi dal data-base ove sono custoditi, in
maniera tale da escludere qualsiasi loro ulteriore trattamento, anche in forma
di conservazione.
Anche tale profilo deve pertanto formare oggetto di prescrizione a Sfera
per ulteriori trattamenti di dati, ai sensi del predetto art. 154, comma 1, lett.
c ), del Codice, nonché di divieto del trattamento per ciò che concerne i dati
già trattati in modo illecito e non corretto.
TUTTO CIÒ PREMESSO, IL GARANTE
1) vieta a Sfera Editore S.p.a., ai sensi dell'art. 154, comma 1, lett. d ),
del Codice, di proseguire il trattamento dei dati personali che sono stati già
trattati in modo illecito e non corretto in violazione delle disposizioni e dei prin
cipi di cui ai punti 8, 9 e 10, a decorrere dalla data di ricezione del presente
provvedimento;
2) prescrive a Sfera Editore S.p.a., ai sensi dell'art. 154, comma 1, lett.
c ), del Codice, al fine di rendere il trattamento conforme alle disposizioni vi
genti, di adottare per eventuali altri trattamenti leciti di dati, nei termini di cui in
motivazione ed entro il 15 febbraio 2007, le misure necessarie per rispettare
l'obbligo di:
a. designare quali responsabili del trattamento ai sensi dell'art. 29
del Codice i soggetti di cui la società si avvale per effettuare attività di gestio
ne del data-base o per le attività di raccolta dei dati personali finalizzati allo
svolgimento di attività di marketing svolta dalla medesima (punti 8.1. e 8.2.);
Pag. 90
La tutela della privacy nelle attività di marketing e promozionali
Pag. 91
La tutela della privacy nelle attività di marketing e promozionali
Pag. 92
La tutela della privacy nelle attività di marketing e promozionali
CONSIDERATO che tale garanzia non può essere elusa inviando una
prima e-mail che, nel richiedere il consenso, abbia già un contenuto promo
zionale o pubblicitario (v. Provv. 29 maggio 2003, relativo allo spamming, in
www.garanteprivacy.it doc. web n. 29840);
RILEVATO che dalla documentazione allo stato acquisita non risulta
comprovato che, nel caso di specie, sia stato richiesto preliminarmente uno
specifico consenso all'interessato per l'inoltro delle comunicazioni mediante
telefax ed e-mail, necessario ai sensi del predetto art. 130 in ragione della
specificità dei mezzi considerati;
CONSIDERATO che l'invio di materiale pubblicitario e di comunicazioni
commerciali mediante e-mail e telefax effettuato da Milano Meeting s.r.l. sen
za il prescritto consenso configura quindi un trattamento illecito di dati (art.
130 Codice);
CONSIDERATO che il titolare del trattamento, è tenuto a predisporre ido
nee misure al fine di agevolare l'esercizio dei diritti di cui all'art. 7 del Codice
da parte dell'interessato (art. 10, comma 1, del Codice);
RISERVATA, con autonomo provvedimento, la verifica dei presupposti
per contestare la violazione amministrativa concernente l'inidonea informativa
(artt. 13, comma 4 e 161 del Codice);
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c)
e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il
trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare,
altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento
dei dati personali;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. b)
e 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le
misure opportune o necessarie per rendere il trattamento conforme alle di
sposizioni vigenti;
RILEVATO che il trattamento di dati personali che non risulta effettuato in
modo lecito ha carattere sistematico;
RILEVATA la necessità di adottare nei confronti di Milano Meeting s.r.l.
un provvedimento di divieto del trattamento illecito di dati personali ai sensi
degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato
all'invio di materiale pubblicitario e di comunicazioni commerciali per mezzo di
e-mail e telefax senza che risulti comprovato il necessario consenso preventi
vo, specifico e informato del destinatario;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essen
dovi tenuto, non osserva il presente provvedimento di divieto è punito con la
reclusione da tre mesi a due anni;
CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati
personali trattati in violazione della disciplina rilevante in materia di dati perso
Pag. 93
La tutela della privacy nelle attività di marketing e promozionali
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli
Pag. 94
La tutela della privacy nelle attività di marketing e promozionali
Pag. 95
La tutela della privacy nelle attività di marketing e promozionali
RILEVATO che resta impregiudicato quanto previsto dall'art. 130 del Co
dice riguardo alle attività promozionali effettuate attraverso sistemi automatiz
zati di chiamata senza l'intervento di un operatore, per le quali è sempre ne
cessario il consenso espresso dell'interessato;
VISTO l'art. 44, comma 1-bis del decreto legge 30 dicembre 2008, n.
207, convertito, con modificazioni, nella legge 27 febbraio 2009, n. 14 (in
G.U. n. 28L del 28 febbraio 2009), che ha stabilito che i dati personali presen
ti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati
prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali
sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del Codice, dai
soli titolari del trattamento che hanno provveduto a costituire dette banche
dati prima del 1° agosto 2005;
CONSIDERATO che la predetta previsione ha introdotto una deroga
temporanea ai principi generali della vigente disciplina sopra richiamata che,
in quanto tale, cessa alla scadenza del 31 dicembre 2009 e non istituisce, in
vece, un regime speciale applicabile anche successivamente a tale data;
CONSIDERATO che la deroga in questione è subordinata al contempo
raneo verificarsi di due condizioni, ossia che le banche dati siano state costi
tuite prima del 1° agosto 2005 e che i dati in esse presenti vengano utilizzati
per finalità promozionali esclusivamente dagli stessi titolari che le hanno a
suo tempo costituite;
CONSIDERATO che la stessa deroga ha posto quindi un vincolo di finali
tà e un vincolo di carattere temporale nell'utilizzo delle predette banche dati,
rappresentato dallo svolgimento di attività di carattere promozionale sino al
31 dicembre 2009 e che, quindi, i dati personali presenti nelle predette ban
che dati non possono essere utilizzati, in vigenza del regime derogatorio, per
finalità ulteriori e al di fuori dell'ambito temporale di operatività della deroga;
RITENUTO, pertanto, che rendere una informativa e acquisire un con
senso, nel predetto periodo, finalizzati alla costituzione di una banca dati da
utilizzare per attività promozionali anche in data successiva al 31 dicembre
2009, costituisce una attività ulteriore rispetto ai vincoli di finalità e di ordine
temporale indicati nella norma derogatoria e transitoria;
CONSIDERATO, inoltre, che l'informativa, ove resa agli interessati nel
corso del predetto periodo, non renderebbe lecita la costituzione di una banca
dati utilizzabile per attività di carattere promozionale, come avveniva anterior
mente al 1° agosto 2005;
CONSIDERATO, poi, in ragione del predetto vincolo di finalità introdotto
per il periodo transitorio, che il consenso, anche laddove fosse acquisito in vi
genza della deroga, non rileverebbe in alcun modo per lo svolgimento di atti
vità promozionali o per lo svolgimento di altre attività per le quali è necessario
acquisirlo, anche in data successiva al 31 dicembre 2009;
Pag. 96
La tutela della privacy nelle attività di marketing e promozionali
Pag. 97
La tutela della privacy nelle attività di marketing e promozionali
IL PRESIDENTE
Pag. 98
La tutela della privacy nelle attività di marketing e promozionali
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Patroni Griffi
Pag. 99