g-docweb-display Portlet

Provvedimento del 22 luglio 2021 [9696708]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9696708]

Provvedimento del 22 luglio 2021

Registro dei provvedimenti
n.  283 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scor-za, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), co-me modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTE, fra i provvedimenti del Garante a contenuto generale più rilevanti, le Linee guida in ma-teria di attività promozionale e contrasto allo spam - 4 luglio 2013, doc. web n. 2542348;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo pervenuto, l’attività istruttoria dell’Ufficio e i relativi esiti

È stato presentato, l’11 febbraio 2019, all’Autorità un reclamo da parte di XX, consulente finanziario, avverso Moneycontroller S.r.l. (di seguito anche "Moneycontroller" o "Società"), con il quale venivano lamentati in particolare l’invio di molteplici comunicazioni promozionali indesiderate al medesimo (e ad alcuni suoi colleghi) nonché la non corretta gestione del diritto di cancellazione esercitato dal medesimo rispetto ai propri dati.

Anche al fine di verificare la dimensione quantitativa delle possibili violazioni, è stata avviata, il 17 settembre 2019, un’attività istruttoria mediante accertamento in loco, in occasione del quale sono state approfonditi vari aspetti dei trattamenti di dati effettuati dalla Società.

Successivamente, il 24 aprile 2020, l’Ufficio ha rivolto una richiesta d’informazioni e di documentazione, ad integrazione di quanto già in atti e – in esito alla risposta ricevuta il 14 maggio 2020 – ha formulato un’ulteriore richiesta il 10 dicembre u.s., riscontrata il 29 dicembre successivo.

Sulla base degli elementi complessivamente acquisiti, è emerso quanto segue:

1.  i dati del reclamante (e di altri consulenti finanziari) sono stati ricavati dall’albo ufficiale degli stessi;

2. le comunicazioni promozionali (contenenti informazioni specifiche del settore economico di riferimento, oltre che relative ai propri servizi) inviate a mezzo posta elettronica non erano assistite del previo, necessario consenso specifico per la finalità promozionale;

3. la Società ha effettuato -oltre all’invio di cui sopra (punto 2)- un’attività promozionale, con lo stesso mezzo,  nei confronti degli utenti iscritti al proprio sito web (v. verbale ispettivo 19 set-tembre 2019), sulla base di uno specifico consenso per la finalità di marketing;

4. la medesima ha dato riscontro negativo all’istanza di cancellazione ricevuta dal reclamante sulla base dell’erroneo convincimento che si potessero veicolare messaggi sui propri servizi a professionisti i cui dati fossero presenti in albi pubblici (come quello dei consulenti finanziari);

5. in linea generale, per propria prassi, la Società ha fornito tempestivo riscontro alle istanze de-gli interessati, provvedendo anche alla cancellazione dei dati, ove richiesta, “di regola entro 6 ore” dal ricevimento delle stesse (in particolare, ha dichiarato di aver soddisfatto “prontamente n. 29 istanze ….Ad ogni richiesta ricevuta abbiamo dato riscontro con una mail che confermava il corso della loro richiesta. Questa attività è stata iscritta nel nostro registro ‘richieste cancellazioni profilo’ e dello stesso vi diamo copia”: v. nota 14 maggio 2020, cit.);

6. le e-mail promozionali contenevano un link per la cancellazione dalla lista dei destinatari, così agevolando, almeno di regola, il diritto di opposizione degli interessati;

7. non sono stati svolti ulteriori trattamenti, come profilazione o comunicazione a terzi per fina-lità soggette ad ulteriore consenso specifico, in quanto diverse da quelle afferenti alla dimen-sione contrattuale servizio o ad obblighi di legge.

Dall’analisi svolta dall’Ufficio, sono emerse in particolare le possibili seguenti violazioni, oggetto di contestazione con la nota del 23 febbraio 2021, cui si fa integrale rinvio:

• l’invio di comunicazioni a contenuto sostanzialmente promozionale in quanto aventi ad og-getto i servizi e i vantaggi offerti dal sito web della Società, in difetto di un consenso informato a siffatto trattamento (art. 6 Regolamento-art. 130 del Codice) e, in via correlata, l’attuazione non corretta del diritto di opposizione del reclamante (art. 21 Regolamento);

• il mancato rilascio ai destinatari di un’informativa sul trattamento (art. 14, par.3, Regolamen-to);

• una generale organizzazione dei trattamenti di dati personali in questione complessivamente non corretta (art. 25, par.1, Regolamento).

Con la memoria difensiva del 16 marzo 2021, che s’intende qui integralmente richiamata, Moneycontroller ha evidenziato:

di aver dato riscontro, a mezzo e-mail, al reclamante il giorno stesso (3 gennaio 2019) della sua istanza di opposizione, nonché di aver prontamente accolto siffatta istanza cancellando prontamente i suoi dati;

che, infatti, l’ultima comunicazione promozionale sarebbe stata inviata al reclamante il citato 3 gennaio 2019 (in ragione di un invio precedentemente programmato) e che, a riprova di ciò, lo stesso nel proprio reclamo non avrebbe lamentato ulteriori invii.

Con la medesima memoria la Società ha peraltro:

evidenziato che le proprie comunicazioni a mezzo posta elettronica contenevano anche un link all’informativa per il trattamento dei dati, allegando il testo della stessa;

prospettato, come possibile base giuridica delle comunicazioni promoziona inviate senza il preventivo consenso, quella del legittimo interesse al marketing;

fatto riferimento al provvedimento generale del 19 gennaio 2011 (di seguito meglio specifica-to) di questa Autorità, sostenendo che, sulla base dello stesso, sarebbe possibile effettuare libe-ramente comunicazioni promozionali verso dati di contatto presenti in elenchi ed albi pubbli-ci, ove ‘strettamente funzionali’ all’attività economica svolta dall’interessato.

Con particolare riguardo agli elementi rilevanti per la quantificazione delle sanzioni pecuniarie ai sensi dell’art. 83, par. 2, del Regolamento, Moneycontroller ha segnatamente prospettato:

la tenuità della violazione, relativa a dati comuni (indirizzi e-mail);

il carattere colposo e non doloso della condotta “qualora ne fosse ritenuta l’illegittimità”;

la cooperazione assicurata all’Autorità e l’assenza di precedenti violazioni da parte della Società;

il presunto carattere meno invasivo della posta elettronica rispetto ad altre modalità di con-tatto promozionale, come il telemarketing.

Con l’ulteriore nota del 25 marzo 2021 (data fissata per l’audizione), la Società ha altresì insistito sulla “funzione sociale educativa dell’attività svolta dal proprio servizio informativo”, in particolare asserendo: “Offriamo gratis a centinaia di migliaia di persone la possibilità di accrescere la loro cultura finanziaria anche grazie al contributo fornito dai consulenti finanziari con la pubblicazione dei loro articoli, che ricevono oltre 200.000 letture annue; le pagine … sulla nostra piattaforma che contribuiscono alla formazione dei risparmiatori … raggiungono 2,5 milioni di letture annue. E per questo riceviamo numerosi attestati di stima dai lettori e dai professionisti che leggono e utilizzano la nostra piattaforma, come potete verificare leggendo il seguente link: https://www.moneycontroller.it/dicono-di-noi/)”. Nella medesima occasione Moneycontroller ha evidenziato altresì:

di aver interrotto, da diversi mesi, l’invio di e-mail ai potenziali clienti, rivolgendole solo agli utenti iscritti o abbonati;

l’esiguità del proprio fatturato (anno 2019: XX; anno 2020: XX) “come pre-sentato nelle dichiarazioni IVA.”

La Società inoltre ha prodotto una policy privacy aggiornata.

2. Valutazioni di ordine giuridico.

Alla luce degli elementi complessivamente acquisiti, anche in base alle affermazioni della Società, di cui il dichiarante può essere chiamato a rispondere penalmente ai sensi dell’art. 168 del Codice, risulta che le possono considerarsi superate la contestazione della presunta violazione:

dell’art. 14 del Regolamento, essendo stata fornita prova dell’avvenuta informativa relativa al trattamento;

dell’art. 21 del Regolamento, poiché, a dispetto del contenuto negativo del riscontro fornito al reclamante, è emerso che la Società aveva de facto tempestivamente accolto l’istanza del me-desimo, al pari delle altre istanze ricevute;

dell‘art. 25 del Regolamento, perché nel complesso sono ravvisabili, a monte dei trattamenti svolti (fra loro peraltro strettamente connessi nell’ambito di una limitata attività economica), un disegno degli stessi non in contrasto con la normativa vigente e una sufficiente cura dei relativi adempimenti.

Occorre invece dichiarare l’avvenuta violazione degli artt. 6 del Regolamento e 130 del Codi-ce, poiché sono state inviate comunicazioni, il cui oggetto è da ritenersi promozionale dei servizi della Società, in difetto del necessario libero e specifico consenso. Al riguardo, non può aver rilievo liceizzante dunque il contenuto formativo specialistico, anche ove di comprovata utilità, interesse o gradimento per i destinatari, dei messaggi in questione

Inoltre, non può ritenersi applicabile all’attività promozionale in rilievo la base giuridica del legittimo interesse, non potendosi ravvisare le condizioni per la sua operatività, quali una pre-gressa e costante interazione positiva fra titolare e interessato che dunque possa ragionevolmente aspettarsi di ricevere comunicazioni promozionali (v. orientamento costante dell’Autorità: provv. 15 gennaio 2020, doc. web n. 9256486 e provv. ti adottati nei confronti di tre call center, l’11 marzo 2021, di cui alle newsletter del 27 aprile 2021, rinvenibile in www.garanteprivacy.it). Più radicalmente, per espressa e specifica previsione legislativa, le modalità automatizzate di contatto, come la posta elettronica, ove utilizzati per finalità anche latamente commerciali, ri-chiedono sempre il previo libero e specifico consenso degli interessati (v. art. 130 del Codice, commi 1 e 2), con l’unica eccezione del c.d. ‘soft spam’ di cui al comma 4 del medesimo 130 (v. peraltro in tal senso: Linee Guida in materia di spam e provv.15 gennaio 2020, citt.).  Sulla base del siffatto quadro normativo, non può quindi ritenersi ammesso inviare comunicazioni a mezzo posta elettronica utilizzando dati raccolti sul web, anche ove si tratti di albi ufficiali e pubblici.

Risulta peraltro incongruo il riferimento al provv gen. 19 gennaio 2011 citato dalla Società, contenente “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni” (doc. web n. 1784528), afferente, evidentemente, il telemarketing e che in vero si preoccupa di ricordare che:  “resta impregiudicato quanto previsto dall´art. 130 del Codice riguardo alle attività promozionali effettuate attraverso sistemi automatizzati di chiamata senza l´intervento di un operatore, per le quali è sempre necessario il consenso espresso dell´interessato”. Peraltro l’ordinamento giuridi-co- a livello nazionale mediante gli abrogati artt. 3 e 11, comma 1, lett. b) del Codice e, a livello euro-unitario, mediante l’art.5, par.1, lett. b), del Regolamento- ha inteso costantemente valoriz-zare il principio-vincolo di finalità, operativo anche con riguardo a “limiti” e “modalità” per il trattamento di dati presenti su elenchi ed albi pubblici (v. già abrogato art. 24, comma 1, lett. c), del Codice).

Tutto ciò premesso -considerati in particolare il livello tenue della violazione, l’assenza di pre-cedenti specifici nonché il modesto importo del fatturato- si ritiene di poter soprassedere dall’adozione di una sanzione amministrativa pecuniaria e di dover comunque adottare, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, nei confronti di Moneycontroller un provvedimento di ammonimento sulla necessità di acquisire previamente un consenso libero e specifico, oltre che informato, degli interessati per l’invio di comunicazioni promozionali.

Si ritiene altresì di poter soprassedere, nel caso di specie, dall’ingiungere una limitazione defi-nitiva del trattamento e l’adozione di apposite misure organizzative e tecniche, tenuto conto del-la dichiarata interruzione dell’attività promozionale in rilievo e dell’avvenuta presa di consape-volezza delle suesposte criticità da parte della Società, come emergente dalla complessiva inter-locuzione dell’Autorità con la medesima.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da Moneycontroller S.r.l., con sede in Via Marco D’Aviano, 2, Milano, P.IVA: 05937430485:

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce Moneycontroller S.r.l sul-la necessità di acquisire previamente un consenso libero e specifico, oltre che informato, degli interessati per l’invio di comunicazioni promozionali.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° set-tembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei