g-docweb-display Portlet

Utilizzo per finalità promozionali del database della Mobile Number Portabilty - 23 luglio 2015 [4260977]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4260977]

Utilizzo per finalità promozionali del database della Mobile Number Portabilty  -  23 luglio 2015

Registro dei provvedimenti
n. 436 del 23 luglio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO

le numerose segnalazioni pervenute al Garante in merito alla campagna promozionale a mezzo sms per servizi della H3G S.p.A.;

gli artt. 11, 23, 130, 143, 144 e 154 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito «Codice»);

l´art. 80 del d.lgs. 1 agosto 2003, n. 259 (Codice delle comunicazioni elettroniche);

gli artt. 11, comma 3, 14 del Regolamento n. 1/2007 recante disposizioni in materia di Procedure interne all´autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante per la protezione dei dati personali (Provvedimento del Garante n. 65 del 14 dicembre 2007, di seguito «Regolamento», pubblicato in Gazzetta Ufficiale 9 gennaio 2008, n. 7);

l´art. 4 dell´allegato 1 alla delibera n. 147/11/CIR dell´Autorità per le garanzie nelle comunicazioni (di seguito «AGCOM»);

gli artt. 5 e 22 dell´accordo quadro allegato alla delibera n. 651/13/CONS dell´AGCOM;

la documentazione in atti;

le osservazioni dell´Ufficio, formulate dal Segretario Generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

RITENUTO IN FATTO

A partire dal mese di febbraio 2015 sono pervenute a questa Autorità numerose segnalazioni con le quali si rappresentava che la H3G S.p.A. aveva avviato una campagna promozionale a mezzo sms per invitare diversi utenti di telefonia mobile alla partecipazione ad un concorso a premi.

Nello specifico, a seguito della ricezione del messaggio di invito, i soggetti interessati avrebbero dovuto recarsi in un punto vendita 3, c.d. 3Store (rivenditori dei servizi H3G) per tentare, mediante estrazione a sorte, di vincere uno smartphone.

Inoltre, nel testo dell´sms era chiaramente identificato, di volta in volta, il gestore telefonico di appartenenza del ricevente essendo lo script il seguente: "Con 3 un iPhone 6 al giorno proprio per te! Corri in un 3Store, scopri se il tuo numero VODAFONE (n.d.r., oppure WIND, TIM) è quello fortunato! Senza impegno. Dis. antv.eu (n.d.r., oppure ppma.it) Reg. tre.it/Re"

A seguito di tale segnalazione l´Ufficio del Garante, ai sensi dell´art. 14 del Regolamento, ha avviato un´istruttoria preliminare, verificando innanzitutto le condizioni di partecipazione al concorso pubblicate sul sito web della H3G cui l´sms di invito rimandava.

Nel regolamento di concorso pubblicato alla pagina web www.tre.it/Re era indicata come società promotrice la H3G e si chiariva che "la società promotrice per il tramite della R&D Communication S.r.l., titolare autonomo del trattamento dei dati personali che ha preventivamente e legittimamente acquisito i contatti dei destinatari … contatterà i numeri telefonici relativi a cittadini italiani maggiorenni".

Nella informativa sul trattamento dei dati personali pubblicata nel medesimo sito web era indicato che:

"tali dati saranno utilizzati esclusivamente per le finalità connesse e strumentali alla partecipazione al concorso … il periodo di conservazione dei dati dei partecipanti sarà rappresentato dal tempo necessario a perseguire le finalità sopra esplicate";

"H3G SpA …. È titolare del trattamento limitatamente ai dati comunicati dal Partecipante ed esclusivamente per le finalità sopraindicate", vale a dire quelle connesse alla gestione del concorso;

"relativamente alle numerazioni destinatarie degli sms di invito alla partecipazione al concorso e dell´utilizzo di specifiche piattaforme per l´invio degli sms, titolare autonomo del trattamento è R&D Communication Srl".

Dalle informazioni così acquisite e dall´esame di quanto riportato nelle segnalazioni pervenute si è pertanto potuto apprendere che il trattamento dei dati personali relativamente alla partecipazione al concorso si sarebbe svolto in due fasi:

in una prima fase la R&D avrebbe provveduto all´invio degli sms contenenti l´invito a partecipare (il cui testo è menzionato sopra);

in una seconda fase, i soggetti che avessero voluto aderire all´offerta si sarebbero dovuti recare presso un 3Store dove, visionata sul sito di H3G un´apposita informativa sul successivo trattamento, avrebbero potuto partecipare all´estrazione di uno smartphone. A seguito di tale partecipazione  veniva infine inviato, da parte di H3G, un sms di esito dal seguente tenore "il tuo numero non è stato estratto. Scopri le nuove tariffe ALL-IN di 3: chiedi informazioni al tuo dealer e attivale oggi stesso".

A seguito di tali primi accertamenti, è stata inviata, il 10 febbraio 2015, una richiesta di informazioni alla H3G e alla R&D alla quale è pervenuto riscontro, da parte di entrambe le società, il successivo 23 febbraio.

Dall´esame delle note pervenute si sono delineate due diverse posizioni per H3G e R&D che avrebbero effettuato in autonomia diversi trattamenti.

a) Trattamenti effettuati da R&D Communication.

Con riguardo al ruolo svolto da R&D, è emerso che questa si è occupata dell´invio degli sms di invito al concorso utilizzando una propria piattaforma tecnologica e scegliendo i destinatari da un database di utenti i cui dati sarebbero stati acquisiti in proprio o forniti da soggetti terzi. In questa fase H3G non avrebbe avuto visibilità dei dati dei soggetti coinvolti nella campagna promozionale. In particolare, la R&D ha specificato che "nel caso di utilizzo di database di titolarità di propri fornitori, R&D in alcune situazioni ha offerto la propria piattaforma gateway al proprio fornitore per effettuare direttamente l´invio del messaggio sms, mentre in altre situazioni, dove l´utente ha rilasciato al fornitore di R&D lo specifico consenso alla comunicazione dei propri dati a terzi per l´invio di comunicazioni commerciali dei terzi medesimi e/o di loro partner, R&D ha effettuato direttamente l´invio e ha rilasciato apposita informativa agli utenti". Inoltre, nelle numerose note inviate da R&D agli interessati, e al Garante per conoscenza, in risposta a richieste di esercizio dei diritti di cui all´art. 7 del Codice, è stato chiarito che la R&D era stata nominata responsabile del trattamento dai fornitori che avevano utilizzato o affidato  i database di cui erano titolari.

Inoltre, su richiesta dell´ufficio, la società ha fatto pervenire documenti attestanti l´acquisizione dei consensi di alcuni segnalanti specificamente indicati nella richiesta di informazioni.

In particolare, la società ha rappresentato che, a seconda della titolarità del database, potevano esserci state diverse modalità di acquisizione del consenso:

alcune utenze sono risultate iscritte ai servizi gestiti dalla Antevenio S.r.l. i cui riscontri, allegati dalla R&D alla nota di risposta, hanno reso noto per ogni utente la data e l´ora di registrazione al servizio, l´indirizzo IP utilizzato, i dati rilasciati e lo specifico consenso per la ricezione di messaggi promozionali unendo la relativa informativa; inoltre, dall´esame effettuato dall´ufficio sui siti web utilizzati per la raccolta dei dati in questione (www.turistacurioso.it e it.inviptus.com) è risultato che era possibile in fase di registrazione esprimere consensi separati per le distinte finalità senza che fosse obbligatorio acconsentire al trattamento anche per finalità promozionali;

un´utenza è invece risultata iscritta al servizio fornito dalla società Accent ADV Ltd con sede a Londra; dalla nota di riscontro allegata anche in questo caso dalla R&D, si evince la data e l´ora di acquisizione del contatto e l´indirizzo IP utilizzato per iscriversi ad una petizione su un blog; non risulta invece, in maniera specifica, anche il conferimento del consenso per le finalità promozionali.

In aggiunta ai chiarimenti relativi alle specifiche segnalazioni allegate dal Garante alla richiesta di informazioni, la R&D ha fatto pervenire, per conoscenza, tutte le risposte fornite ai numerosi soggetti che le avevano inviato le richieste di accesso ai propri dati personali. Per tutti questi soggetti, la società ha indicato l´origine dei dati e le modalità di cancellazione. Dai riscontri sono pertanto emersi altri soggetti che avrebbero fornito, direttamente o indirettamente, database a R&D oltre ai già citati Antevenio S.r.l. e Accent ADV Ltd. Per ognuno di questi soggetti, di seguito elencati, l´ufficio ha verificato l´attuale modalità di resa dell´informativa e di raccolta del consenso mediante l´esame dei relativi siti web predisposti per l´iscrizione ai servizi:

Futurland S.a.s. ha acquisito i contatti mediante la registrazione ai servizi presenti sul sito web www.vinciregali.com; l´ufficio ha potuto verificare che il sito consente l´espressione di consensi separati in base alle finalità senza che l´erogazione dei servizi sia subordinata alla resa del consenso per finalità promozionali;

Ad Acta S.r.l. ha acquisito i contatti mediante il sito www.smsaffari.it; in questo caso è obbligatorio il consenso per finalità promozionali perché il servizio erogato consiste proprio nella ricezione, dietro compenso, di sms promozionali di terzi (inviati direttamente da Ad Acta S.r.l. senza la diffusione ad altri soggetti);

LDG Newco s.a., società con sede in Francia, ha raccolto i dati mediante il sito web www.win6.it dove è presente un modulo da compilare per tentare di vincere un premio; dall´informativa pubblicata sul sito emerge che i dati raccolti saranno trattatati per la profilazione degli iscritti e l´invio di messaggi con finalità promozionali ma non è possibile esprimere consensi separati né completare l´iscrizione senza obbligatoriamente fornire il consenso all´intero trattamento.

Infine, in merito alle modalità con cui sarebbero stati individuati i gestori telefonici dei riceventi, la R&D ha dichiarato, con nota del 23 febbraio 2015, che "il gestore di appartenenza è stato individuato dal database della portabilità cui R&D ha accesso in quanto regolarmente iscritta al Registro Operatori di Comunicazione".
Il 2 luglio 2015 è inoltre pervenuta una memoria con la quale l´avvocato Alessandro Di Gioia per conto della R&D ha voluto chiarire alcuni aspetti di questo specifico trattamento evidenziando in particolare che l´utilizzo del database della portabilità è stato giustificato dalla necessità per la R&D di disporre di un "supporto tecnico ai fini del corretto instradamento del messaggio verso l´operatore di telefonia a cui effettivamente apparteneva la numerazione di ogni singolo destinatario del messaggio".

b) Trattamenti effettuati da H3G S.p.A.

Con riguardo ai trattamenti effettuati da H3G, invece, l´istruttoria condotta ha chiarito il ruolo della stessa come autonomo titolare nella fase, già sopra descritta, di acquisizione dei dati dei soggetti che avevano manifestato l´intenzione di partecipare al concorso recandosi presso il 3Store. In questa fase, come specificato sopra, la H3G ha fornito una specifica informativa sul trattamento dei dati personali attraverso il regolamento di concorso pubblicato sul proprio sito web; in tale informativa si chiariva che la finalità del conferimento dei dati era unicamente contrattuale essendo indispensabile allo svolgimento del concorso. All´esito dello stesso e in caso di mancata vincita, veniva inviato il seguente sms: "il tuo numero non è stato estratto. Scopri le nuove tariffe ALL-IN di 3: chiedi informazioni al tuo dealer e attivale oggi stesso".

Inoltre, con risposta fornita alla richiesta di informazioni del Garante, H3G ha precisato, con riguardo alla presunta natura promozionale del suddetto script, che "la seconda parte del sms inviato è volto a mitigare gli effetti della delusione della mancata vincita" aggiungendo tuttavia che "ad ogni buon conto e a scanso di equivoci dall´11 febbraio u.s. il testo del sms di mancata vincita è stato modificato"; pertanto il nuovo script, dall´11 febbraio 2015, è il seguente: "il tuo numero non è stato estratto. Grazie per aver partecipato".

Infine, con riguardo alla selezione dei messaggi in base all´operatore di appartenenza, la società ha rappresentato che l´individuazione del target è stata demandata ad R&D  sulla base dei requisiti indicati da H3G mentre la redazione degli script, diversi per operatore, è stata effettuata dalla stessa H3G.

CONSIDERATO IN DIRITTO

1. Invio di messaggi promozionali via sms.

La questione riguarda la prestazione del consenso libero, informato e specifico per il trattamento dei dati personali a fini promozionali disciplinato dal Codice agli artt. 11, 13, 23, 24 e 130.

Sulla base di tali riferimenti normativi, questa Autorità ha più volte ribadito come non possano considerarsi legittimi i trattamenti dei dati personali quando, al momento della prestazione del consenso, gli interessati non siano stati posti in condizione tale da poter esprimere consapevolmente e liberamente le proprie scelte e le proprie determinazioni in merito.

Questa Autorità peraltro, con orientamento costante e consolidato, ritiene che quando il titolare abbia richiesto un solo consenso (c.d. consenso unico) per una molteplicità di eterogenee finalità del trattamento, ovvero qualora la fornitura di un servizio venga subordinata alla obbligatoria prestazione del consenso al trattamento dei dati per fini promozionali (c.d. consenso obbligato), tale consenso non possa considerarsi liberamente e consapevolmente prestato.

Nel caso di specie, si sono delineate due diverse posizioni in relazione ai trattamenti effettuati da H3G, da una parte, e da R&D, dall´altra con esiti in parte differenti.

R&D ha infatti inviato messaggi promozionali ad una vasta platea di soggetti (circa 6.000.000 di invii) documentando l´acquisizione di un consenso libero, specifico e informato solo per una parte di questi; alcune utenze oggetto della campagna infatti sono state fornite da partner commerciali della R&D (nello specifico, Accent ADV Ltd e LDG Newco s.a.) senza che sia stata documentata l´acquisizione dello specifico consenso per finalità promozionali o senza che tale consenso, pur specificamente acquisito, fosse stato anche espresso liberamente.

H3G, invece, ha acquisito i dati dei partecipanti al concorso informandoli che sarebbero stati trattati per le sole finalità connesse all´espletamento dello stesso; tuttavia, tutti i messaggi di esito dell´estrazione inviati dal 30 gennaio 2015 (data di avvio del concorso) fino all´11 febbraio 2015 – data in cui la società ha eliminato dallo script il contenuto promozionale - avevano anche finalità commerciale. In tal caso l´invio è stato dunque effettuato a soggetti per i quali H3G non aveva acquisito un consenso specifico al trattamento per finalità promozionali.

Si prende atto che la società ha modificato, a partire dall´11 febbraio 2015, lo script del messaggio eliminando ogni contenuto promozionale, ma è evidente tuttavia che ogni eventuale utilizzo per fini commerciali dei dati acquisiti nell´ambito del concorso a premi non può essere considerato lecito.

2. Utilizzo per finalità promozionali del database della Mobile Number Portabilty (MNP).

La MNP consente ai clienti di servizi telefonici mobili di cambiare operatore mantenendo il proprio numero. La materia è stata ampiamente disciplinata dall´AGCOM negli ultimi anni in attuazione del disposto dell´art. 80 del Codice delle comunicazioni elettroniche.

Nel caso specifico, la finalità della creazione di una banca dati ad uso degli operatori è stata chiarita con la delibera n. 147/11/CIR del 30 novembre 2011; in particolare, l´art. 4 del regolamento allegato alla stessa delibera dispone che "il riconoscimento dell´associazione tra il numero portato e la rete dell´operatore recipient è effettuato, nel rispetto delle disposizioni per la tutela dei dati personali, tramite apposite banche dati gestite da ciascun operatore ospitante" e, al comma 2, "ciascun operatore ospitante ha l´obbligo di mantenere aggiornata la propria banca dati e di comunicare a tutti gli altri operatori ospitanti l´acquisizione dei numeri oggetto di portabilità". Lo stesso regolamento inoltre prevede l´adesione obbligatoria, per tutti i soggetti che forniscono servizi di comunicazioni mobili, ad un accordo quadro che definisca degli standard di servizio per la prestazione di MNP conformi ai dettami del regolamento.

Con la delibera n. 651/13/CONS, l´AGCOM ha validato l´accordo quadro sottoscritto dagli operatori nel luglio 2013, dato che l´esplicito rimando della delibera  n. 147/11/CIR ha conferito potere regolatorio alla norma pattizia in quanto atta ad integrare lo stesso regolamento. In tale accordo quadro è chiaramente indicata la finalità delle banche dati per MNP; l´art. 5 prevede infatti che "il riconoscimento dell´associazione tra il numero del cliente portato e la rete dell´operatore recipient è effettuato, nel rispetto delle disposizioni per la tutela dei dati personali, tramite apposite banche dati gestite da ciascun operatore ospitante per servizi mobili e personali, al solo fine di espletare il corretto instradamento della chiamata verso numeri portati"; inoltre, l´art. 22, espressamente rubricato "trattamento dati personali ex D.lgs. 196/03" evidenzia chiaramente e senza margine di equivoci la finalità per la quale le banche dati sono costituite disponendo che "le parti si obbligano, nel corso dell´esercizio delle procedure di portabilità, a trattare con la massima riservatezza i dati relativi ai clienti che richiedono l´attivazione della prestazione di MNP, ed utilizzarli esclusivamente ai fini dell´attivazione di tale prestazione, nel rispetto della normativa vigente in materia di trattamento di dati personali con divieto assoluto di contattare il cliente nel corso della portabilità, anche per segnalare eventuali anomalie".

È pertanto di tutta evidenza che non sia previsto in alcun caso l´utilizzo della banca dati di MNP per finalità che non rientrino tra quelle strettamente connesse all´erogazione del servizio e l´esplicito rimando, sia nelle delibere AGCOM che nell´accordo quadro, alla disciplina in materia di trattamento dei dati personali, consente di interpretare la questione anche alla luce dell´art. 11, comma 1, lett. b) del Codice.

Ora occorre pertanto valutare come si configuri l´attività di selezione dei destinatari in base all´operatore di appartenenza effettuata dalla R&D su richiesta della H3G.

2.1 Trattamenti effettuati da R&D Communication.

L´invio degli sms di invito a partecipare al concorso è indubbiamente finalizzato a scopi commerciali trattandosi appunto di una campagna promozionale per promuovere i servizi della H3G; in questo contesto la predisposizione di uno script diverso per operatore è verosimilmente da intendere come volontà del mittente di attribuire al messaggio maggiore personalizzazione e dunque maggiore attrattività dal punto di vista commerciale non essendo peraltro ipotizzabile alcuna altra motivazione a sostegno della necessità di precisare tale elemento.

L´indicazione dell´operatore di appartenenza all´interno di ogni singolo messaggio pertanto è già di per sé elemento sufficiente a caratterizzare la finalità di tale trattamento come promozionale non rilevando a tal fine le osservazioni fatte dalla R&D con riguardo all´utilizzo del DB della portabilità per il solo instradamento dei messaggi: infatti, ragionando a contrario, l´invio dei messaggi, correttamente instradati, sarebbe potuto avvenire anche senza menzionare nello script l´operatore di appartenenza. Del resto, è opportuno ricordare che la stessa R&D, in una nota di risposta, ha dichiarato di aver desunto l´operatore di appartenenza dal database della MNP.

Come previsto dall´art. 11 del Codice, i dati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi e anche le altre operazioni di trattamento devono essere compatibili con tali scopi; ne consegue che i dati trattati illecitamente non possono essere utilizzati.

L´accesso alla banca dati della MNP da parte di R&D è stato possibile perché la società è iscritta al Registro Operatori di Comunicazione (ROC) ma, come già descritto, le finalità di tale banca dati non contemplano in alcun modo il trattamento per scopi commerciali. Pertanto i dati presenti nella banca dati della MNP non potevano essere utilizzati per selezionare il target e/o per personalizzare il contenuto di una campagna promozionale come invece è avvenuto nel caso di specie.

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecito, poiché non conforme a quanto previsto dagli artt. 23 e 130 del Codice, il trattamento di dati personali effettuato dalla R&D Communication S.r.l. con sede in Montorio Veronese, Via Olivè 32/A, consistente nell´invio di messaggi promozionali tramite sms senza la documentata acquisizione di un consenso libero e specifico degli interessati con riguardo ai dati acquisiti dalle società Accent ADV Ltd e LDG Newco s.a.;

b) dichiara illecito, poiché non conforme a quanto previsto dagli artt. 23 e 130 del Codice, il trattamento di dati personali effettuato, nel periodo compreso tra il 30 gennaio 2015 e il 10 febbraio 2015, dalla H3G S.p.A. con sede in Roma, Via Alessandro Severo 246, consistente nell´invio di messaggi promozionali tramite sms senza aver acquisito un preventivo consenso degli interessati;

c) dichiara illecito, poiché non conforme a quanto previsto dall´art. 11 del Codice, il trattamento di dati personali effettuato dalla R&D Communication S.r.l. per l´utilizzo a fini promozionali della banca dati istituita per la Mobile Number Portability;

d) vieta alla R&D Communication S.r.l., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento per finalità promozionali dei dati personali raccolti con le modalità dichiarate illecite ai punti a) e c);

e) vieta alla H3G S.p.A., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento per finalità promozionali dei dati personali raccolti con le modalità dichiarate illecite al punto b).

In caso di mancata osservanza del divieto sub d) ed e) è applicata, in sede amministrativa, la sanzione del pagamento di una somma da trentamila a centottantamila euro, ai sensi dell´art. 162, comma 2-ter del Codice. La mancata osservanza del predetto divieto è inoltre punita, ai sensi dell´art. 170 del Codice, con la reclusione da tre mesi a due anni.

Resta salva la facoltà di questa Autorità di avviare autonomi procedimenti sanzionatori nei confronti di R&D Communication S.r.l. e H3G S.p.A. per le violazioni della normativa in materia di protezione dei dati personali rilevate.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 23 luglio 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannin

IL SEGRETARIO GENERALE
Busia