LA PRIVACY NEL SETTORE DEL MARKETING · 2017-07-26 · 3 i trattamenti tipici del settore...
69
LA PRIVACY NEL SETTORE DEL MARKETING - Una breve guida pratica per i soci di IAB -
Transcript of LA PRIVACY NEL SETTORE DEL MARKETING · 2017-07-26 · 3 i trattamenti tipici del settore...
LA PRIVACY NEL SETTORE DEL MARKETING
- Una breve guida pratica per i soci di IAB -
2
INTRODUZIONE
Attuare correttamente la normativa italiana in materia di privacy può essere molto complesso. Le previsioni del Codice della Privacy sono, infatti, di difficile interpretazione ed i vari interventi normativi del legislatore, susseguitisi nel tempo, hanno concorso a creare un quadro normativo non sempre coerente. Inoltre, la piena comprensione degli adempimenti previsti dalla legge richiede la conoscenza della vastissima produzione di decisioni del Garante per la protezione dei dati personali, che negli anni ha analizzato e meglio definito la portata delle previsioni di legge, nonché degli orientamenti espressi a livello europeo dall’Art. 29 Working Party, organo consultivo indipendente dell'Unione Europea, che riunisce le Autorità garanti degli Stati Membri. Molte aziende faticano ad implementare la legge sulla privacy o spesso vi rinunciano, sia per la difficoltà oggettiva di osservare gli obblighi normativi sia per i costi che la compliance inevitabilmente comporta. Trascurare il tema privacy può, tuttavia, esporre le aziende non solo al rischio di subire ingenti sanzioni amministrative (ed in taluni casi di incorrere persino in responsabilità di natura penale) ma anche a non secondari rischi reputazionali. Gli ultimi numeri disponibili parlano chiaro: dalla relazione per l’anno 2011 sull’attività del Garante per la protezione dei dati personali emerge che le ispezioni effettuate nell’anno 2011 sono state 447, sulla base di programmi ispettivi semestrali disposti dall’Autorità. L’attività di controllo nell’anno 2011 ha riguardato, in particolare, banche, società che gestiscono i pagamenti attraverso carte di credito, fornitori di servizi di telecomunicazioni, società che gestiscono banche dati per finalità di marketing, società che effettuano trattamenti di dati personali facendo ricorso a particolari tecnologie (come i sistemi di rilevazione satellitare ed il cloud computing) e società che effettuano attività di profilazione. A seguito delle ispezioni effettuate sono stati avviati 358 procedimenti sanzionatori amministrativi e le entrate dell’Autorità relative all’attività sanzionatoria per l’anno 2011 sono state pari a 3.073.430 euro. Sono stati, inoltre, rilevati gli estremi per l’invio all’autorità giudiziaria di 37 informative (di cui 16 direttamente da parte dell’Autorità e 21 da parte della Guardia di finanza). Le aziende che operano nel settore della pubblicità, come i soci di IAB, sono ancora più esposte al rischio di subire contestazioni, sia per la quantità di dati che esse tipicamente trattano sia per la complessità della normativa che regola
3
i trattamenti tipici del settore pubblicitario. La presente guida ha lo scopo di ripercorre brevemente i principali obblighi di legge in materia di privacy, al fine di consentire ai soci di IAB di effettuare una prima autovalutazione del proprio livello di compliance e pianificare eventuali rimedi. Per tale ragione, la guida non ha alcuna pretesa di esaustività e non tratta temi specifici – come l’utilizzo dei cookie nell’ambito del behavioural advertising – che, per la loro complessità, meritano certamente una specifica e separata trattazione. Nel testo sono peraltro esaminati alcuni casi pratici, che possono aiutare i soci di IAB a calare nella realtà le astrazioni della legge. Roma, 6 maggio 2013 Lapo Curini Galletti Synthesis (Legal &Tax Network Association) Italo de Feo CMS – Adonnino Ascoli & Cavasola Scamoni Marco Leone CMS – Adonnino Ascoli & Cavasola Scamoni
4
INDICE 1. IL QUADRO GIURIDICO DI RIFERIMENTO 5
1.1. Il Codice della Privacy 5 1.2. L’ambito di applicazione del Codice 5 1.3. Le definizioni contenute nel Codice 8 1.4. Principi generali per il trattamento dei dati 10 1.5. L’informativa 11 1.6. Il consenso 12 1.7. I dati sensibili 14 1.8. La notificazione 15 1.9. Il trasferimento dei dati all'estero 17 1.10. I diritti degli interessati 18 1.11. Le misure di sicurezza 20 1.12. Le sanzioni 23
2. L'ORGANIZZAZIONE INTERNA 26 2.1. Gli incaricati del trattamento 26 2.2. Il responsabile interno del trattamento 28 2.3. I responsabili esterni del trattamento 29 2.4. Gli amministratori di sistema 33 2.5. La videosorveglianza 35
3. I RAPPORTI CON LE DIVERSE CATEGORIE DI INTERESSATI 38 3.1. Il trattamento dei dati personali dei dipendenti 38 3.2. Il trattamento dei dati personali dei clienti 39 3.3. Il trattamento dei dati personali dei fornitori 39
4. IL MARKETING E LA PROFILAZIONE 40 4.1. Il marketing 40 4.2. Il telemarketing 44 4.3. Il marketing via email, fax, SMS o MMS 46 4.4. Il marketing via posta cartacea 54 4.5. Il Codice del Consumo ed il Decreto e-Commerce 55 4.6. La profilazione 58
4.6.1 Il consenso 58 4.6.2 L'informativa 60 4.6.3 Le modalità del trattamento 60 4.6.4 Le misure di sicurezza 61 4.6.5 La notificazione 62
4.7. I tempi di conservazione dei dati 65
5
IL QUADRO GIURIDICO DI RIFERIMENTO
1.1. Il Codice della Privacy
Il quadro regolamentare italiano in materia di privacy si fonda, da un lato, sulle previsioni del D.lgs. 196 del 30 giugno 2003 – Codice in materia di protezione dei dati personali (il "Codice") e, dall’altro, sui provvedimenti generali del Garante per la protezione dei dati personali (il "Garante"). Il Codice ha abrogato la precedente Legge 675 del 31 dicembre 1996, recependo la Direttiva 95/46/CE, che costituisce il testo di riferimento, a livello europeo, in materia di protezione dei dati personali (di seguito, la “Direttiva Privacy”), e la Direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, come modificata dalla Direttiva 2009/136/CE (di seguito, la “Direttiva E-Privacy”). 1.2. L’ambito di applicazione del Codice
L’ambito di applicazione del Codice è regalato dall’art. 5, che così dispone:
“1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali. 3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.”.
Il Codice recepisce pedissequamente i criteri di applicazione previsti dalla normativa comunitaria, ed in particolare dall’art. 4 della Direttiva Privacy. In virtù di tali criteri, il Codice si applica ai:
(i) titolari del trattamento stabiliti in Italia o in un luogo soggetto alla sovranità italiana, anche se i dati sono fisicamente detenuti all’estero. È il caso, ad esempio, di un editore Internet con sede legale in Italia, che ha i propri server negli Stati Uniti;
6
(ii) titolari del trattamento stabiliti in un Paese non appartenente all’Unione Europea
ma che impiegano degli strumenti situati nel territorio italiano, anche diversi da quelli elettronici, per effettuare il trattamento. È il caso, ad esempio, di un ad network avente sede legale negli Stati Uniti, che utilizza cookies per veicolare pubblicità comportamentale ad utenti italiani. In tale scenario, l'articolo 4, paragrafo 2 della Direttiva Privacy impone, peraltro, al titolare del trattamento l'obbligo di designare un rappresentante nel territorio dello Stato membro la cui legge trova applicazione.
Sono, invece, del tutto irrilevanti, ai fini della determinazione della legge applicabile, la cittadinanza, il luogo di residenza abituale e l’ubicazione fisica dell’interessato al trattamento. Mentre il caso sub (i) non pone dubbi interpretativi, il caso sub (ii) è particolarmente problematico, stante la difficoltà di comprendere quali siano gli “strumenti” (o “equipment” nel linguaggio della Direttiva Privacy) il cui utilizzo comporta l’applicazione del Codice anche a titolari del trattamento stabiliti in un Paese extra UE. La complessità delle questioni relative al diritto applicabile sta accentuandosi anche a causa dell'accresciuta globalizzazione e dello sviluppo di nuove tecnologie: le imprese operano sempre più in ambiti giurisdizionali diversi, fornendo servizi ed assistenza a livello globale; Internet facilita la prestazione di servizi e la raccolta e la condivisione di dati personali in un ambiente virtuale; il cloud computing rende difficile accertare l'ubicazione dei dati personali e degli strumenti usati in un determinato momento. È quindi cruciale che l'esatto significato delle disposizioni del Codice e della Direttiva Privacy concernenti il diritto applicabile sia sufficientemente chiaro. Nel dicembre 2010, l’Art. 29 Working Party, organo consultivo indipendente dell'UE per la protezione dei dati personali e della vita privata, che riunisce a livello europeo le Autorità garanti degli Stati Membri (il “Working Party”), ha pubblicato un parere (Parere 8/2010 sul diritto applicabile) al fine di chiarire l’ambito di applicazione della Direttiva Privacy. Il Working Party ha precisato che la Direttiva Privacy si applica anzitutto ai titolari del trattamento stabiliti in uno Stato Membro. La nozione di stabilimento non viene definita nella direttiva. Il preambolo della Direttiva Privacy indica, tuttavia, che "lo stabilimento nel territorio di uno Stato membro implica l'esercizio effettivo e reale dell'attività mediante un'organizzazione stabile; [e] che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo" (considerando 19). L'elemento decisivo per qualificare uno stabilimento ai sensi della Direttiva Privacy è, dunque, l'esercizio effettivo e reale di attività nel contesto delle quali sono trattati dati personali. Qualora uno stesso titolare del trattamento sia stabilito nel territorio di più Stati Membri, esso deve adottare le misure necessarie per assicurare l'osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi previsti dal diritto nazionale applicabile. Per chiarire ulteriormente i criteri di applicazione della legge privacy, il Working Party ha fornito i
7
seguenti esempi:
• nel primo scenario un titolare del trattamento ha uno stabilimento in Austria e tratta dati personali nel contesto delle attività di quello stabilimento. Il diritto applicabile sarà ovviamente quello dell'Austria, in quanto luogo in cui è ubicato lo stabilimento;
• nel secondo scenario, il titolare del trattamento ha uno stabilimento in Austria, e nel contesto delle attività di questo tratta i dati personali raccolti attraverso il proprio sito web. Il sito web è accessibile agli utenti in vari paesi. Il diritto applicabile in materia di protezione dei dati è quello dell'Austria – che è il luogo in cui è ubicato lo stabilimento – indipendentemente da dove si trovano gli utenti e i dati;
• nel terzo scenario, il titolare del trattamento è stabilito in Austria e fa effettuare il trattamento ad un responsabile del trattamento in Germania. Il trattamento in Germania è effettuato nel contesto delle attività del titolare del trattamento in Austria; in altre parole, il trattamento è effettuato per i fini aziendali dello stabilimento austriaco e sotto le sue istruzioni. Il diritto austriaco sarà applicabile al trattamento effettuato dal responsabile del trattamento in Germania. Inoltre, il responsabile del trattamento sarà soggetto ai requisiti della legge tedesca per quanto riguarda le misure di sicurezza che è obbligato ad attuare in relazione al trattamento;
• nel quarto scenario, il titolare del trattamento stabilito in Austria apre un ufficio
di rappresentanza in Italia, che organizza tutti i contenuti italiani del sito web e gestisce le richieste degli utenti italiani. Le attività di trattamento dei dati svolte dall'ufficio italiano sono effettuate nel contesto dello stabilimento italiano, pertanto a quelle attività si applicherà il diritto italiano.
Venendo invece al caso del titolare del trattamento stabilito in un Paese non appartenente all’Unione Europea, ma che utilizza “strumenti” situati in uno Stato Membro per effettuare il trattamento, il Working Party ha chiarito che non è necessario che il titolare del trattamento abbia la proprietà e la piena disposizione di tali “strumenti” affinché la Direttiva Privacy possa trovare applicazione. Va osservato che vi è una differenza fra il termine adoperato nella versione inglese dell'articolo 4, paragrafo 1, lettera c) "equipment" (strumenti), e i termini adoperati nelle altre versioni linguistiche della medesima disposizione, che sono più simili alla parola inglese "means" (mezzi). In ragione di ciò, il Working Party ha, in effetti, ritenuto che il termine "equipment" debba essere ritenuto equivalente a "means" (strumenti). Tali “means” potrebbero essere "automatizzati o non automatizzati", derivandone così un’interpretazione estensiva del criterio, che includerebbe tanto gli intermediari umani (ad esempio soggetti incaricati di distribuire dei questionari sul territorio dello Stato) quanto gli strumenti tecnici utilizzati per il trattamento dei dati (ad esempio un server collocato nel territorio dello Stato). In un recente parere in materia di cloud computing (WP 196), il Working Party ha finanche ritenuto che se un cliente di un servizio di cloud
8
computing (titolare del trattamento) è stabilito al di fuori dell’Unione Europea ma incarica un fornitore di servizi di cloud computing (responsabile del trattamento) con sede nell’Unione Europea, il fornitore esporta la legislazione sulla protezione dei dati al cliente (in sostanza il trattamento diventa soggetto alla legge privacy dello Stato Membro in cui è stabilito il fornitore).
Secondo il Working Party è necessaria una valutazione caso per caso del modo in cui gli strumenti sono effettivamente usati ai fini della raccolta e del trattamento dei dati personali. Sulla base di questo ragionamento, il Working Party ha riconosciuto la possibilità che la raccolta di dati personali attraverso i computer di utenti, come nel caso di utilizzo di cookie, determini l'applicazione dell'articolo 4, paragrafo 1, lettera c) (e quindi delle norme dell’Unione sulla protezione dei dati personali) a titolari stabiliti in Paesi terzi. L'applicazione della legge nazionale di uno Stato Membro è esclusa quando gli strumenti usati dal titolare del trattamento e situati nello Stato Membro sono impiegati solo per il transito sul territorio dell'Unione, come ad esempio nel caso di reti di telecomunicazione (cavi) o servizi postali che garantiscono solo che le comunicazioni transitino nell'Unione al fine di raggiungere Paesi terzi. È il caso di menzionare che l’attuale bozza del nuovo Regolamento europeo sulla privacy, che una volta approvato sostituirà la Direttiva Privacy, supera il criterio degli “strumenti”, prevedendo che la normativa europea sulla privacy dovrà applicarsi al trattamento dei dati personali di residenti nell’Unione effettuato da un titolare del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti residenti nell’Unione, oppure;
b) il controllo del loro comportamento. 1.3. Le definizioni contenute nel Codice
Per comprendere appieno la normativa italiana in materia di privacy è necessario familiarizzare con alcuni termini fondamentali, che sono definiti ed utilizzati nel Codice. L'art. 4 del Codice definisce i seguenti termini:
� "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
9
Si noti che la definizione di "trattamento" è molto ampia e che sostanzialmente comprende qualsiasi operazione compiuta su dei dati personali.
� "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
È interessante notare che, a seguito di una recente riforma (si veda l’art. 40, co. 2, let. a), del Decreto Legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011), la definizione di "dato personale" (così come quella di “interssato”) non menziona più le persone giuridiche, che devono, pertanto, considerarsi al di fuori del perimetro di applicazione del Codice, fatte salve le disposizioni del Titolo X (Comunicazioni elettroniche), che, come si dirà appresso, secondo l’Autorità continuano ad applicarsi anche alle persone giuridiche.
� "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato.
Si tratta tipicamente dei dati anagrafici.
� "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Si tratta dei dati il cui trattamento, per la loro particolare natura, richiede il rispetto di particolari obblighi, soprattutto relativi al consenso, all’autorizzazione da parte del Garante ed alle misure di sicurezza da osservare.
� "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Nel caso di società il "titolare" coincide sempre con la persona giuridica che effettua il trattamento. Ad esempio, nel caso in cui il trattamento sia effettuato da una S.r.l., il titolare del trattamento è la stessa S.r.l. e non invece il legale rappresentante della società, come spesso erroneamente si ritiene.
� "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
10
Il "responsabile" può essere tanto una persona fisica individuata all'interno della struttura organizzativa del titolare (ad es. il capo dell'ufficio del personale) - ed in tal caso si parla di "responsabile interno" - quanto un fornitore, persona fisica o giuridica, che tratta dati personali il nome e per conto del "titolare, sulla base di un contratto di servizio - ed in tal caso si parla di "responsabile esterno".
� "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
Gli "incaricati" sono le singole persone fisiche appartenenti alla struttura organizzativa del titolare, incaricate dallo stesso di effettuare determinate operazioni di trattamento (ad es. un impiegato dell'ufficio del personale o dell’ufficio marketing).
� "interessato", la persona fisica cui si riferiscono i dati personali.
Si tratta dei soggetti (persone fisiche) cui i dati personali si riferiscono (es. dipendenti, clienti e fornitori).
� "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Si parla di "comunicazione" solo quando i dati personali sono comunicati da un titolare ad un altro autonomo titolare, il quale tratti i dati personali per proprie finalità di trattamento. Non costituisce invece una "comunicazione" il passaggio dei dati da un "titolare" ad un contitolare o ad un "responsabile" (interno o esterno) o ad un incaricato.
� "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
La diffusione si realizza quando i dati personali vengono comunicati ad una pluralità indeterminata di terzi. Un esempio di diffusione è la pubblicazione di dati personali su Internet o su un giornale.
� "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.
Si parla di dato anonimo quando non è più possibile risalire all'identità dell'interessato cui il dato si riferisce.
1.4. Principi generali per il trattamento dei dati
L'art. 11 del Codice stabilisce alcuni principi generali, che devono essere tenuti sempre in considerazione dai titolari del trattamento:
11
"1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati."
La norma formalizza:
- il c.d. "principio di liceità", in base al quale i dati personali possono essere trattati solo entro i limiti stabiliti dalla legge (non è, ad esempio, consentito trattare i dati personali dei lavoratori in violazione delle previsioni dello Statuto dei Lavoratori);
- il c.d. "principio di necessità", in base al quale occorre trattare dati personali solo ove strettamente necessario e nella misura in cui non sia possibile perseguire le finalità di trattamento utilizzando solo dati anonimi. Il principio di necessità è ulteriormente specificato dall'art. 3 del Codice, ai sensi del quale "i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità";
- il c.d. "principio di proporzionalità", in base al quale i dati raccolti ed i relativi trattamenti devono essere commisurati allo scopo perseguito (non è, ad esempio, consentito raccogliere dati personali dei lavoratori che non siano strettamente necessari per l'esecuzione del contratto di lavoro, quali informazioni sui gusti, le abitudini, gli orientamenti politici e religiosi, informazioni sui familiari, ecc.);
- il c.d. "principio di finalità", in base al quale gli scopi perseguiti devono essere determinati, espliciti e legittimi; ciò comporta che il titolare possa perseguire solo finalità di sua pertinenza (ad esempio, un sito Internet non potrebbe trattare dati giudiziari dei propri utenti, nemmeno per motivi di sicurezza).
1.5. L’informativa
12
Uno dei principali obblighi previsti dal Codice è quello di fornire gli interessati dal trattamento un'informativa privacy, contenente gli elementi previsti dal Codice.
Ai sensi dell'art. 13 del Codice, l'interessato al trattamento deve essere, infatti, informato, oralmente o per iscritto, prima che sia iniziato qualsivoglia trattamento, circa:
"a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile."
L'informativa privacy può non comprendere gli elementi già noti alla persona che fornisce i dati. 1.6. Il consenso
Uno dei cardini su cui poggia l'intera disciplina della privacy è il consenso. Una regola fondamentale è, infatti, quella per cui, fatte salve talune eccezioni espressamente previste dal Codice (art. 24), il trattamento dei dati personali è ammesso soltanto con il preventivo consenso espresso, specifico, libero ed informato dell'interessato (art. 23):
"1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.
13
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.".
Il consenso dell'interessato deve essere:
A. espresso
Non sono ritenute valide dichiarazioni tacite o comportamenti concludenti dell'interessato (es. mero silenzio, inerzia davanti ad una proposta, tolleranza di un trattamento, comportamenti passivi).
B. prestato specificamente in riferimento ad un trattamento chiaramente individuato
L'oggetto del consenso deve essere chiaramente individuato e deve riferirsi ad un determinato trattamento o a determinate operazioni di trattamento. Il consenso non può, cioè, riferirsi a qualsiasi trattamento o ad un trattamento genericamente individuato.
Esso deve inoltre essere prestato "specificamente" per ogni trattamento, non essendo quindi ammissibile un unico consenso per una pluralità di trattamenti.
Inoltre, poiché anche la comunicazione di dati personali a titolari del trattamento terzi costituisce un "trattamento" ai sensi del Codice, è necessario ottenere un consenso espresso e specifico da parte degli interessati anche per effettuare tale comunicazione. Non è invece necessario alcun consenso per comunicare dati personali a soggetti terzi che agiscono in qualità di responsabili esterni del trattamento (i quali devono essere debitamente nominati per iscritto dal titolare del trattamento), poiché tali soggetti trattano dati personali esclusivamente per conto del titolare del trattamento, in base alle istruzioni da quest'ultimo impartite.
C. documentato per iscritto
Il titolare del trattamento è tenuto a documentare per iscritto che il consenso dell'interessato è stato validamente prestato in una certa data e con riferimento ad un determinato trattamento. Si badi che non è necessario ottenere un consenso scritto da parte dell'interessato, che è richiesto dal Codice solo per il trattamento dei dati sensibili. Se i dati personali sono comuni (cioè non sensibili), il consenso deve essere, infatti, solo documentato per iscritto dal titolare del trattamento (non è cioè necessario ottenere la sottoscrizione autografa da parte dell'interessato, ma è sufficiente produrre una qualsiasi prova documentale che attesti l'avvenuto consenso). È in ogni caso consigliabile acquisire la sottoscrizione autografa dell’interessato tutte le volte in cui le circostanze lo rendano possibile.
D. informato
Il consenso è validamente prestato solo se all'interessato sia stata preliminarmente fornita l'informativa di cui all'art. 13 del Codice.
14
E. libero
Il consenso può essere ritenuto libero solo se si presenta come manifestazione del diritto all'autodeterminazione, al riparo da qualsivoglia pressione, e se non viene condizionato dall'accettazione di clausole che determinano un significativo squilibrio dei diritti e degli obblighi dell'interessato.
Ad esempio, secondo l'interpretazione del Garante, non è consentito subordinare la possibilità di acquistare un bene o fruire di un servizio all'espressione del consenso al trattamento dei propri dati personali per finalità di marketing. In tal caso, infatti, il consenso non potrebbe considerarsi libero, essendo la libera determinazione dell'interessato condizionata dalla necessità di stipulare un contratto con il titolare del trattamento. Ad esempio, con una decisione del 05 marzo 2009 (doc. web n. 1615731), l’Autorità ha chiarito che "gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare; […] non risulta quindi conforme ai criteri di liceità e correttezza nel trattamento dei dati personali, nonché al principio di finalità la scelta di raccogliere un consenso per eseguire ordinarie obbligazioni contrattuali (art. 24, comma 1, lett. b), cit.) e collegarlo, altresì, a finalità ulteriori, quali quelle di profilazione della clientela e di marketing (art. 11, comma 1, lett. a) e b) e art. 23, comma 3, del Codice): […] risulta pertanto la necessità che [la società] modifichi la modulistica utilizzata per rendere l'informativa ed acquisire il consenso, fornendo ai clienti la possibilità di prestare consensi differenziati in relazione alle distinte finalità sopra indicate".
Il trattamento di dati personali può essere effettuato anche senza il consenso dell'interessato nei casi individuati dall'art. 24 del Codice. Tra questi, per le finalità della presente guida, occorre certamente menzionare quello previsto alla lettera b) dell'art. 24, che espressamente consente di effettuare il trattamento, anche senza il consenso dell'interessato, se questo "è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato". Tale eccezione è estremamente importante, poiché consente di prescindere dal consenso dell'interessato tutte le volte in cui il trattamento di dati personali sia necessario per dare esecuzione ad un contratto di cui è parte l'interessato (ad es. i termini e le condizioni generali di un sito che sono accettate dall’interessato in fase di registrazione) ovvero per rispondere a specifiche richieste dell'interessato nella fase precontrattuale (ad es. per rispondere ad una richiesta di informazioni da parte di un utente di un servizio online prima dell’accettazione delle condizioni generali di servizio).
1.7. I dati sensibili
Qualora i dati personali siano di tipo sensibile, il consenso dell'interessato deve essere reso per iscritto (cioè mediante sottoscrizione autografa dell'interessato o mediante firma elettronica avanzata, qualificata o digitale). Infatti, ai sensi dell'art. 26 del Codice :
"I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto
15
dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. […]
I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante", inter alia, "[…] d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 111".
Fatte salve alcune eccezioni minori, i dati personali sensibili possono essere trattati, oltre che con il consenso scritto dell'interessato, soltanto con la previa autorizzazione del Garante.
I dati sensibili possono essere trattatati anche senza il consenso degli interessati, ma con la previa autorizzazione del Garante, in alcune specifiche ipotesi previste dal Codice, tra le quali, ai fini della presente guida, occorre menzionare la seguente:
"quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 111"
Si badi che il Garante ha emanato una serie di autorizzazioni generali che coprono la maggior parte dei trattamenti di dati sensibili tipicamente effettuati dalle aziende, per cui sono piuttosto rari i casi in cui occorra chiedere una preventiva e specifica autorizzazione al Garante prima di procedere al trattamento. Naturalmente, i trattamenti devono essere effettuati nel rigoroso rispetto delle prescrizioni impartite dal Garante con tali autorizzazioni generali. Tra le principali autorizzazioni generali occorre menzionare le seguenti:
� Autorizzazione generale n. 1/2012 al trattamento dei dati sensibili nei rapporti di lavoro (13 dicembre 2012)
� Autorizzazione generale n. 2/2012 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (13 dicembre 2012)
� Autorizzazione generale n. 5/2012 al trattamento dei dati sensibili da parte di diverse categorie di titolari (13 dicembre 2012)
1.8. La notificazione
In linea di principio per trattare dei dati personali non occorre inviare alcuna preventiva notificazione o comunicazione al Garante.
16
Tuttavia, sono previste alcune eccezioni. Infatti, ai sensi dell'art. 37 del Codice:
"Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti."
La notificazione è una dichiarazione, effettuata online direttamente sul sito Internet del Garante, con la quale un soggetto rende nota al Garante l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento. Un modello esemplificativo di notificazione è disponibile al seguente sito Internet: https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf. Le notificazioni sono inserite in un registro pubblico, che è consultabile gratuitamente online. Effettuata la notificazione, il titolare del trattamento può immediatamente iniziare i trattamenti notificati, senza che vi sia bisogno di alcuna autorizzazione da parte del Garante. Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10, comma 3, D.P.R. n. 445/2000). Qualora il notificante non sia in possesso di firma digitale, questi può recarsi presso uno dei soggetti convenzionati con il Garante munito del proprio ID temporaneo (ottenuto al termine della procedura di registrazione sul sito del Garante) e di un documento di riconoscimento (ed eventualmente della ricevuta di versamento dei diritti di segreteria, ove non avesse già provveduto ad inserire gli estremi nell'apposito campo) e, avvalendosi della firma digitale dell’intermediario, trasmettere
17
in via telematica la notificazione. L'elenco degli organismi convenzionati è pubblicato sul sito del Garante.
Occorre considerare che, nell'ambito dei controlli periodicamente effettuati dal Garante, il registro pubblico dei trattamenti notificati può essere utilizzato dal Garante per selezionare i titolari da assoggettare a controllo. Prima di effettuare una notificazione (es. per profilare i propri clienti/utenti) è bene essere certi che la propria azienda sia in regola con tutti obblighi previsti dal Codice, poiché la notificazione aumenta il rischio di subire controlli da parte del Garante.
1.9. Il trasferimento dei dati all'estero
I dati personali possono essere trasferiti liberamente in altri Stati Membri dell'Unione Europea.
È invece vietato il trasferimento di dati personali, anche temporanei, verso Paesi non appartenenti all'Unione Europea, quando il Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato.
Questa regola generale trova alcune eccezioni.
Anzitutto, sono consentiti i trasferimenti di dati personali verso i Paesi che sono stati ritenuti "adeguati" dalla Commissione Europea (per una lista di tali Paesi consultare il sito http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm).
Il trasferimenti di dati personali verso Paesi non appartenenti all'Unione Europea è inoltre consentito, tra gli altri, nei seguenti casi (art. 43 del Codice):
“a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;
b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato.”
Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è infine consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato (art. 44 del Codice):
“c) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime;”
18
Si tratta delle c.d. binding corporate rules ("BDR"), ovvero delle regole internamente approvata da imprese appartenenti al medesimo gruppo societario al fine di assicurare un alto livello di protezione dei dati personali trattati e consentire la libera circolazione di tali dati all’interno del gruppo. Le BDR devono essere approvate da almeno una Autorità Garante di uno Stato Membro (c.d leading Authority). Ad oggi solo pochi grandi gruppi multinazionali hanno chiesto ed ottenuto l'approvazione di BDR.
“d) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.”
Si tratta di contratti standard approvati dalla Commissione Europea, la sottoscrizione dei quali consente il trasferimento di dati personali da un titolare stabilito in uno Stato Membro dell'Unione Europea ad un responsabile stabilito in un Paese non appartenente all'Unione Europea. È, inoltre, stato approvato un modello contrattuale che consente il trasferimento di dati personali da un titolare stabilito in uno Stato Membro dell'Unione Europea ad un responsabile stabilito in un Paese non appartenente all'Unione Europea (ad esempio, un fornitore di servizi di informatici in modalità cloud computing). Per maggiori informazioni e per reperire copia dei contratti standard, si prega di visitare il sito http://ec.europa.eu/justice/data-protection/document/international-transfers/transfer/index_en.htm.
È importante sottolineare che anche il mero accesso a dati personali effettuato da soggetti che si trovano in un Paese terzo (es. società indiana che visualizza dati che si trovano su un server situato in Italia mediante accesso remoto online) configura un trasferimento di dati all’estero.
1.10. I diritti degli interessati
L'art. 7 del Codice riconosce agli interessati i seguenti diritti:
"1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
19
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale."
Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati identificati o identificabili;
b) a semplificare le modalità ed a ridurre i tempi per il riscontro all’interessato, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.
I dati sono estratti a cura del responsabile o degli incaricati, e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, occorre provvedere
20
alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato deve comprendere tutti i dati personali che riguardano l'interessato comunque trattati dal titolare. Il riscontro all'interessato deve essere fornito entro un termine massimo di 15 giorni. È dunque molto importante che le aziende si dotino di procedure interne idonee ad evadere le richieste pervenute nei tempi previste dalle legge.
Si badi, inoltre, che, prima di rispondere ad una richiesta di esercizio dei diritti di cui all'art. 7, il titolare deve verificare l'identità del soggetto che effettua la richiesta, sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. Se la richiesta è effettuata da un terzo per conto dell'interessato, la persona che agisce per conto dell'interessato deve esibire o allegare copia della procura, ovvero della delega sottoscritta in presenza di un incaricato, o della delega sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato.
1.11. Le misure di sicurezza
Tra gli obblighi principali di titolari del trattamento vi è quello di garantire la sicurezza dei dati personali.
Ai sensi dell'art. 31 del Codice:
"i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.".
Le misure di sicurezza devono pertanto essere adeguate alle tipologie di trattamento effettuate ed aggiornate in base al progresso tecnologico.
Il Codice prevede delle misure di sicurezza c.d. "minime", che devono in ogni caso essere implementate da tutti i titolari del trattamento. Tali misure minime sono specificate dagli artt. 33 e seguenti del Codice nonché nell'Allegato B al Codice.
In particolare, con riferimento a trattamento di dati personali effettuati con strumenti elettronici (ad es. personal computer), l'art. 34 prevede che:
"Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
21
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;".
Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici (ovvero manualmente) è invece consentito, secondo quanto previsto dall'art. 35 del Codice, solo se sono adottate, nei modi previsti dal disciplinare tecnico, le seguenti misure minime:
"a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati."
Tutte le misure di sicurezza sopra menzionate sono meglio esplicitate nell'Allegato B al Codice. L'analisi dettagliata di tali misure esula dallo scopo della presente guida. È tuttavia importante evidenziare che tutte le aziende sono tenute ad implementare tali misure di sicurezza con la massima diligenza, atteso che, come si dirà in seguito, sono previste cospicue sanzioni amministrative, nonché di natura penale, in caso di violazioni.
Gli obblighi relativi alle misure di sicurezza sono stati notevolmente ridotti dal recente "decreto sviluppo", cha ha eliminato l'obbligo di redigere il c.d "Documento Programmatico sulla Sicurezza" (DPS), documento riepilogativo di tutti i trattamenti e delle relative misure di sicurezza adottate dal titolare del trattamento per proteggere i dati personali. È, tuttavia, comunque necessario stilare un documento interno, da aggiornare almeno annualmente, che elenchi i nominati degli incaricati del trattamento nominati dal titolare (con il relativo profilo di autorizzazione) nonché dei responsabili del trattamento esterni ed interni. Inoltre, è altamente consigliabile predisporre in ogni caso un documento interno che riepiloghi le misure di sicurezza adottate e continuare la programmazione di interventi formativi in materia di privacy in
22
favore degli incaricati addetti alle operazioni di trattamento.
Occorre, infine, dar conto di alcuni provvedimenti c.d. "di semplificazione", adottati dal Garante per rendere meno onerosi gli adempimenti in materia di privacy in relazione ai trattamenti effettuati da chiunque per correnti finalità amministrative e contabili (in particolare presso piccole e medie imprese, liberi professionisti e artigiani). L'art. 35, co. 1-ter del Codice, chiarisce che i "trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro". I provvedimenti di semplificazione ad oggi emanati sono i seguenti:
o Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 [doc. web n. 1571218];
o Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili - 19 giugno 2008 [doc. web n. 1526724]
o Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 [doc. web n. 1412271].
Possono beneficiare delle misure semplificate per applicare le misure minime di sicurezza nel trattamento dei dati personali i soggetti pubblici o privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
Possono beneficiare delle altre semplificazioni tutti i titolari del trattamento in ambito privato e pubblico, ed in particolare le piccole e medie imprese, i liberi professionisti e gli artigiani.
È bene considerare che, stante la definizione piuttosto generica di "trattamenti effettuati per finalità amministrativo-contabili", molte imprese potrebbero non essere nella condizione di poter beneficiare dei provvedimenti di semplificazione. Sarebbe, infatti, sufficiente svolgere delle attività di marketing o di profilazione perché si possa sostenere che il titolare persegua finalità di trattamento ulteriori rispetto a quelle propriamente
23
amministrativo-contabili. Pertanto, non essendovi ancora precedenti giurisprudenziali sul tema, al fine di minimizzare i rischi di incorrere in eventuali sanzioni, è comunque consigliabile implementare tutte le misure minime di sicurezza previste dal Codice, indipendentemente da quanto previsto dai provvedimenti di semplificazione.
1.12. Le sanzioni
Per quanto concerne i profili sanzionatori, il Codice prevede, tra le altre, le seguenti sanzioni:
(i) l'omessa o inidonea informativa all'interessato è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro (art. 161 del Codice);
(ii) in caso di trattamento di dati personali effettuato senza il consenso degli
interessati (ove richiesto dalla legge) è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro (art. 162 del Codice);
(iii) chiunque, essendovi tenuto, non provvede tempestivamente alla
notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro (art. 163 del Codice).
Se taluna delle violazioni di cui agli articoli 161, 162 e 163 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti (art. 164-bis, co. 1 del Codice). In caso di più violazioni di un'unica o di più disposizioni, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro (art. 164-bis, co. 2 del Codice). In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimi e massimi delle sanzioni menzionate nel presente paragrafo sono applicati in misura pari al doppio (art. 164-bis, co. 3 del Codice). Le stesse sanzioni possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore (art. 164-bis, co. 4 del Codice). Sono inoltre previste alcune sanzioni penali: - Art. 167: Trattamento illecito di dati "1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per
24
altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23 [n.d.r. consenso dell'interessato], 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26 [n.d.r. trattamento di dati sensibili], 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni." - Art. 168: Falsità nelle dichiarazioni e notificazioni al Garante "1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni." - Art. 169: Misure di sicurezza "1.(1) Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni." (2) All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.". - Art. 171: Altre fattispecie "1. La violazione delle disposizioni di cui agli articoli 113, comma 1 [n.d.r. divieto di indagini sulle opinioni dei lavoratori], e 114 [n.d.r. divieto di controllo a distanza dei lavoratori] è punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300. [n.d.r. ammenda da euro 154 a euro 1.549 o con l'arresto da 15 giorni ad un anno]" - Art. 170: Inosservanza di provvedimenti del Garante "1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai
25
sensi degli articoli 26, comma 2 [n.d.r. autorizzazione al trattamento di dati sensibili], 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.".
26
2. L'ORGANIZZAZIONE INTERNA
In questo capitolo illustreremo brevemente come le aziende devono organizzarsi al proprio interno per rispettare la normativa italiana in materia di privacy. 2.1. Gli incaricati del trattamento
Come si è visto, gli incaricati del trattamento sono le singole persone che effettuano un trattamento di dati personali per conto del titolare e sotto la direzione dello stesso. Tipicamente si tratta di dipendenti o collaboratori dell’azienda. Recita, infatti, l'art. 30 del Codice che: "le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite". Non sarebbe dunque possibile nominare quali incaricati del trattamento delle persone fisiche sulle quali il titolare e/o il responsabile non esercitino un diretto potere gerarchico. Gli incaricati del trattamento devono essere designati per iscritto dal titolare o dal responsabile, indicando puntualmente l'ambito di trattamento consentito (ovvero, il tipo di dati che possono essere trattati dall'incaricato, le finalità e le modalità del trattamento e stabilire il divieto di trattare dati non afferenti all’attività dell’incaricato). Poiché la designazione su base individuale può essere molto onerosa, specialmente in aziende di grandi dimensioni o particolarmente complesse, è possibile effettuare delle designazioni di gruppo, individuando gli ambiti di trattamento consentiti ad un’intera unità aziendale. In altri termini, è possibile predisporre un documento scritto contenente l'indicazione dei trattamenti consentiti a tutti i lavoratori appartenenti ad una determinata unità o ad uno specifico dipartimento aziendale (es. ufficio del personale). Un’azienda può, ad esempio, effettuare delle nomine collettive per l'ufficio amministrazione, per l'ufficio del personale, per l'ufficio marketing, ecc. Per poter beneficiare di questa possibilità, i titolari del trattamento devono essere in grado di documentare la preposizione di ciascun incaricato del trattamento a quella determinata unità; ciò in quanto ciascun incaricato del trattamento deve sapere a quale unità aziendale appartiene, in modo tale da poter prendere visione delle istruzioni collettivamente impartite a detta unità. Alle aziende che intendano ricorrere a questa modalità di designazione degli incaricati, si consiglia, pertanto, di esplicitare l'unita aziendale di assegnazione già al momento dell'assunzione di ciascun dipendente e di redigere un organigramma aziendale da esporre in bacheca (o da pubblicare sull’intranet aziendale), che dovrà essere esibito al Garante in caso di controlli. Effettuare le nomine degli incaricati del trattamento è estremamente importante. La mancata nomina può, infatti, astrattamente configurare una violazione dell’art. 33 del Codice (misure di sicurezza), la cui violazione è punita, oltre che con una cospicua sanzione amministrativa, anche con l’arresto sino a due anni.
IL CASO PRATICO
27
Nel maggio 2009 il Garante emetteva un verbale di contestazione nei confronti di una nota società di produzione televisiva per la violazione degli articoli 30 e 33 del Codice, ovvero per non aver provveduto alla nomina degli incaricati del trattamento, così violando la disciplina del Codice in materia di misure minime di sicurezza.
La società presentava degli scritti difensivi, argomentando che:
a) circa la designazione per iscritto degli incaricati del trattamento, che:
- "nel marzo del 2005 la Società aveva regolarmente provveduto alla nomina per iscritto degli incaricati del trattamento";
- all’atto dell’intervento ispettivo, "la Società stava da qualche mese valutando l’implicazione dei provvedimenti emanati dal Garante in materia di semplificazione […] In particolare, a seguito di alcuni cambiamenti nella struttura della società e del personale […], la Società aveva deciso di procedere con una nomina degli incaricati per classi omogenee". Per tale motivo "il direttore generale ha richiamato la decisione della Società di procedere con una nomina per classi omogenee, nomina che – anche a seguito delle suddette norme di semplificazione – la Società aveva pensato di poter fare solo oralmente, per poi decidere […] di farlo invece per iscritto, in uno con l’aggiornamento del DPS";
b) con riferimento all’applicabilità della sanzione di cui all’art. 162, comma 2-bis, del Codice alla fattispecie in esame, che "la nomina per iscritto dell’incaricato del trattamento non è una misura minima di sicurezza individuata nel […] Capo II del Titolo V del Codice, né è menzionata nel relativo Allegato B) del Codice […] L’art. 162, comma 2-bis, del Codice non si applica, dunque, alla violazione dell’art. 30 del Codice (che, peraltro, appare priva di specifica sanzione)";
c) in merito al comportamento complessivo dalla società, che "la Società è da anni puntuale nell’applicazione delle norme in materia di privacy, […] ha sempre effettuato attività di formazione in materia di privacy […], ha pubblicato policy e procedure per l’uso di Internet e delle email in azienda, ha nominato i responsabili esterni quando necessario, ha provveduto alla nomina dell’amministratore di sistema, ha implementato e aggiornato tempestivamente il DPS e le misure minime di sicurezza"; la società, inoltre, comunicava di aver tempestivamente provveduto, successivamente all’attività ispettiva svolta dalla Guardia di finanza, alla designazione per iscritto di responsabili ed incaricati del trattamento dei dati.
Il Garante riteneva che le argomentazioni addotte non fossero idonee ad escludere la responsabilità amministrativa in ordine a quanto contestato in quanto:
a) con riferimento alla violazione dell’art. 33 del Codice, risultava accertato in atti che la società non aveva provveduto alla designazione per iscritto di una parte degli incaricati del trattamento ai sensi dell’art. 30 del Codice, con ciò determinando la mancata applicazione di quella parte di misure minime di
28
sicurezza che il Codice riconduce all’attività degli incaricati del trattamento medesimo. Al riguardo, il Garante sottolineava che la mancata designazione degli incaricati del trattamento non costituisce un mero inadempimento formale, ma si configura come atto presupposto indispensabile per l’applicazione della parte più significativa delle misure di sicurezza da adottarsi per il trattamento dei dati personali ed è strettamente correlata all’attività degli incaricati del trattamento (ovvero di coloro che ordinariamente operano sui dati personali), mirando a fornire agli stessi le istruzioni da seguire per il corretto trattamento dei dati; per tali ragioni, la mancata designazione per iscritto degli incaricati, ai sensi dell’art. 30, secondo l’Autorità, determinava la mancata applicazione di tutte quelle misure minime di sicurezza, di cui all’art. 33 e seguenti, che il disciplinare tecnico (allegato B al Codice) riconduce all’attività degli incaricati del trattamento medesimo (regole nr. 1-10; 12-14; 15 e 17 dell’allegato B) e comporta, quindi, l’applicazione della sanzione di cui all’art. 162, comma 2- bis, del Codice;
Circa l’applicabilità del provvedimento del Garante di semplificazione delle misure minime di sicurezza datato 27 novembre 2008 [doc. web n. 1571218], che prevede la possibilità di impartire istruzioni agli incaricati anche oralmente, l’Autorità rilevava che la Società non potesse rientrare nell’ambito soggettivo di applicazione della predetta semplificazione poiché la società, in ragione del proprio volume d’affari, superava i parametri previsti dal d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, per la classificazione all’interno di tale categoria di soggetti.
Il Garante comminava, pertanto, una sanzione amministrativa pari a euro 30.000. Tuttavia, visto l’art. 164-bis, comma 4, del Codice, che prevede che le sanzioni amministrative di cui al Titolo III, Capo I, del Codice possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore, e rilevato che l’applicazione della predetta sanzione nei confronti della Società sarebbe risultata inefficace, in ragione del volume d’affari rilevabile dal bilancio dell’anno 2009, il Garante aumentava la sanzione ad euro 90.000,00. 2.2. Il responsabile interno del trattamento
I titolari del trattamento possono nominare uno o più responsabili del trattamento, affidando loro determinati compiti. Ad esempio, un’azienda X potrebbe nominare il sig. Y, capo dell'ufficio amministrativo, quale responsabile interno del trattamento dei dati dei clienti. Contrariamente a quanto si dirà di seguito per i responsabili del trattamento esterni, la designazione del responsabile del trattamento non è obbligatoria né è utile per liberare il titolare della responsabilità derivante dal trattamento di dati personali. Infatti, il titolare può essere in ogni caso sanzionato dall'Autorità in caso di violazione delle disposizioni del Codice o essere citato in giudizio dagli interessati per ottenere il risarcimento di ogni danno subito, anche nel caso in cui le violazioni siano state commesse esclusivamente dal responsabile interno. Tuttavia, la designazione dei responsabili può essere utile nelle
29
grandi organizzazioni aziendali, poiché, ripartendo le responsabilità tra più soggetti, può risultare più facile gestire gli obblighi in materia di privacy ed assicurare il conseguimento di un più elevato livello di compliance. Si badi, tuttavia, che, se designato, il responsabile deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di privacy, ivi compreso il profilo relativo alla sicurezza. Inoltre, i compiti affidati al responsabile devono essere analiticamente specificati per iscritto dal titolare. Il responsabile deve attenersi rigorosamente alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, deve vigilare sulla puntuale osservanza delle disposizioni del Codice e delle proprie istruzioni. Qualora si stato nominato un responsabile del trattamento, il nominativo di questo deve essere menzionato nell’informativa privacy agli interessati i cui dati sono trattati da tale responsabile. Qualora sia stato nominato più di un responsabile, occorre menzionare il nominativo di almeno uno di essi ed indicare le modalità attraverso le quali è possibile ottenere un elenco completo dei responsabili nominati dal titolare (ad esempio, indicando un indirizzo di posta elettronica, scrivendo al quale è possibile ottenere tale elenco). 2.3. I responsabili esterni del trattamento
Si suole parlare di "responsabile esterno del trattamento" quando un soggetto, persona fisica o persona giuridica, estraneo all'organizzazione gerarchica del titolare, effettua operazioni di trattamento di dati personali per conto e nell'interesse del titolare. Il caso tipico è quello del fornitore di un’azienda fornitrice che, in esecuzione di un contratto di servizio, tratti dati personali per conto di un’azienda committente (ad esempio, un’azienda che affidi ad un fornitore terzo il servizio di invio delle proprie email pubblicitarie). In tale contesto il fornitore tratta dei dati personali non già per proprie finalità di trattamento ma in nome e per conto di un determinato titolare del trattamento, in esecuzione di un contratto di servizio ed attenendosi alle istruzioni ricevute dal titolare, essendo pertanto da considerarsi come un responsabile esterno. Contrariamente a quanto detto con riferimento al responsabile interno del trattamento, in tutti questi casi la nomina del responsabile esterno è sostanzialmente obbligatoria, nel senso che, in difetto di tale nomina, non vi sarebbe alcuna base giuridica per giustificare il trasferimento dei dati dal titolare al fornitore del servizio. La nomina a responsabile esterno consente, infatti, al titolare di comunicare i dati personali al fornitore senza dover raccogliere il preventivo consenso alla comunicazione da parte degli interessati cui i dati si riferiscono. L'atto di nomina, oltre a dettagliare le istruzioni impartite dal titolare (anche con riferimento alle misure di sicurezza da implementare), deve prevedere il diritto per il titolare di effettuare degli audit (verifiche) presso la sede del responsabile esterno, al fine di poter appurare che i trattamenti siano effettuati nel rispetto della legge e delle
30
istruzioni impartite, così come richiesto dall'art. 29 del Codice. Per quanto concerne il regime di responsabilità del titolare del trattamento per fatto del responsabile, secondo la dottrina maggioritaria, che trova conforto nella giurisprudenza del Garante, il titolare del trattamento può essere chiamato a rispondere del fatto del responsabile tanto per “culpa in eligendo”, ovvero per non aver scelto un responsabile che per esperienza e capacità possa assicurare il rispetto della normativa vigente in materia di privacy, quanto per “culpa in vigilando”, ovvero per non aver vigilato sull’osservanza da parte del responsabile delle previsioni del Codice.
IL CASO PRATICO
Il Garante riceveva numerose istanze (segnalazioni, reclami e richieste di pareri) in materia di trattamento dei dati personali degli abbonati ai servizi di telefonia, i quali, nonostante l'iscrizione dei propri dati anagrafici e dell'utenza della quale erano intestatari nel Registro pubblico delle opposizioni, ed in assenza di altre condizioni legittimanti, lamentavano la ricezione di contatti indesiderati per finalità promozionali di carattere commerciale, ovvero segnalavano la ricezione di comunicazioni a carattere pubblicitario non richieste, trasmesse via telefax.
Nel corso dell'attività istruttoria avviata dall'Autorità emergeva che in diversi casi le società che producevano o vendevano beni ed erogavano i servizi oggetto delle campagne promozionali (di seguito, preponenti), si avvalevano di soggetti terzi (gli outsourcer) cui, previa sottoscrizione di specifico accordo - generalmente nella forma del contratto di agenzia di cui agli artt. 1742 ss. del codice civile - veniva conferito mandato, spesso con rappresentanza, e demandata l'attività di promozione e commercializzazione dei menzionati beni e servizi. Lo svolgimento di tale attività era normalmente effettuato su base territoriale; con indicazione, cioè, di una specifica area geografica di competenza dell'agente. Vi erano ricompresi, tra l'altro, il contatto con il potenziale cliente, la sottoposizione della proposta commerciale, la raccolta dell'eventuale adesione, l'utilizzo della modulistica fornita dalla società preponente ed, infine, la trasmissione dei dati a quest'ultima perché curasse gli adempimenti di propria competenza. Era accertato, inoltre, che gli agenti erano nella maggior parte dei casi tenuti a seguire specifiche attività di formazione (attraverso incontri, seminari o apposite convention) e ricevevano puntuali, aggiornate istruzioni anche con riguardo al trattamento dei dati personali dei soggetti contattati.
Alcune delle società preponenti risultavano aver opportunamente provveduto a nominare responsabili del trattamento le agenzie che, operando in outsourcing, si occupavano, appunto, della promozione e della commercializzazione di prodotti e servizi per conto della società avviando, a tal fine, mirati contatti commerciali nei confronti di potenziali clienti; altre, invece avevano affermato che gli agenti in questione agivano in qualità di titolari autonomi del trattamento dei dati dei potenziali clienti, ed avevano pertanto rivendicato la propria estraneità rispetto ad eventuali illeciti (quali, ad esempio, contatti promozionali indesiderati avviati nei confronti di titolari di utenze telefoniche che avessero curato la propria iscrizione nel Registro pubblico delle opposizioni, spesso perfino a seguito del reiterato esercizio del diritto di
31
opposizione da parte degli interessati; trasmissione, in assenza del consenso informato dell'interessato, di messaggi a carattere pubblicitario via telefax etc.).
Le risultanze istruttorie dimostravano, tuttavia, che in tutti i casi oggetto di indagine gli outsourcer avevano agito in carenza degli imprescindibili presupposti perché potesse essere loro riconosciuta autonoma titolarità nel trattamento di dati personali, come risultava alla stregua delle seguenti considerazioni:
- i contatti a carattere promozionale erano effettuati in nome, comunque per conto e nell'interesse della società preponente; con l'effetto che negli interessati si ingenerava un legittimo affidamento, dal momento che essi percepivano di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale veniva formulata la proposta di vendita di prodotti o servizi;
- i preponenti fornivano agli agenti dettagliate istruzioni sulle finalità del trattamento, sui mezzi da impiegare per il conseguimento di tali finalità e sui compiti assegnati, che erano specificamente e rigorosamente definiti;
- gli agenti erano, inoltre, contrattualmente tenuti anche al rispetto della normativa vigente in materia di privacy;
- il mandato, spesso con rappresentanza, di volta in volta conferito, vincolava l'agente alla presentazione di offerte ed alla conclusione di contratti in nome, comunque per conto del preponente utilizzando, peraltro, la modulistica predisposta da quest'ultimo. Tali modalità erano strettamente connesse ai concetti giuridici di "procura" e di "delega", con ogni riflesso anche in ordine alla ripartizione delle responsabilità in materia di trattamento dei dati personali;
- agli agenti venivano fornite, per il tramite di circolari informative ovvero di incontri, convention, istruzioni etc., anche le specifiche indicazioni operative da seguire per lo svolgimento dell'attività di marketing, spesso aggiornate con riferimento alle nuove modalità connesse all'entrata in vigore del Registro pubblico delle opposizioni;
- a seguito dell'intervento dell'Autorità, con il dichiarato fine di evitare futuri, indesiderati contatti telefonici o via telefax verso i segnalanti, i preponenti, nella quasi totalità dei casi, avevano provveduto ad inserire quei nominativi e le connesse utenze telefoniche all'interno di una propria black list a disposizione delle strutture anche esterne alle società (gli outsourcer).
Considerato che gli artt. 4, comma 1, lett. f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto "cui competono … le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati" e che esercita "un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza", il Garante riteneva che le agenzie in outsourcing non potessero essere considerate quali titolari autonomi, dal momento che all'asserita titolarità formale non corrispondevano, anche in termini concreti, i poteri
32
tassativamente previsti dal Codice per la configurazione e l'esercizio della titolarità, che erano e restavano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:
- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agivano in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;
- impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;
- svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi.
D'altro canto, secondo il Garante, se gli agenti avessero rivestito la qualifica di autonomi titolari, la comunicazione dei dati dei clienti alla società preponente, a qualunque titolo e per qualunque causa effettuata, ivi compresa quella relativa ai contratti stipulati, sarebbe risultata lecita soltanto ove fosse stato preventivamente acquisito il consenso informato dell'interessato (artt. 13 e 23 del Codice) ovvero fosse sussistito uno dei presupposti di esonero rispetto all'obbligo della sua acquisizione (art. 24 del Codice). In difetto, la trasmissione di quelle informazioni sarebbe stata non conforme al Codice, con conseguenti applicabilità delle relative sanzioni e inutilizzabilità dei dati ai sensi dell'art. 11, comma 2.
Al pari viziata sarebbe stata anche la comunicazione, da parte della società agli outsourcer, dei dati personali dei soggetti che, avendo manifestato la propria opposizione al trattamento, venivano inseriti nella black list per evitare il reiterarsi dell'indesiderato contatto commerciale.
Per quanto sopra, il Garante riteneva che gli agenti avessero operato di fatto, e a tutti gli effetti, come se fossero stati "preposti dal titolare al trattamento di dati personali", dunque in piena e sostanziale aderenza alla definizione del "responsabile" di cui all'art. 4, comma 1, lett. g) del Codice.
Il Garante chiariva che, nel sistema delineato dal Codice, segnatamente ai sensi del combinato disposto di cui agli artt. 4, comma 1, lett. g) ed f), 28 e 29, l'esternalizzazione delle attività promozionali costituisce senz'altro una libera scelta organizzativa ed imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle società preponenti; cionondimeno, nelle situazioni verificate dall'Autorità ed in tutte quelle in cui l'atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti sia riconducibile alle fattispecie oggetto della decisione del Garante, occorre assicurare la conformità dei relativi trattamenti, ivi compresi quelli già in essere, alle norme in materia di protezione di dati personali.
È, in altri termini, sempre rimessa al titolare, quale esercizio di una propria libera facoltà, la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano
33
comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia - come nei casi esaminati - il titolare decida in tal senso, sarà tenuto ad adoperarsi affinché all'atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali.
Ne consegue che in tali situazioni, affinché i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli outsourcer, i quali - lo si ripete - già concretamente operano, in via di fatto, nella specifica qualità di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell'art. 29.
Pertanto, il Garante disponeva che tutti i preponenti, in quanto titolari del trattamento, procedessero, entro 60 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale, a designare le società ovvero i soggetti terzi che agivano in outsourcing, quali responsabili del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.
L'Autorità si riservava inoltre, con autonomi procedimenti, la verifica dei presupposti per contestare ai titolari del trattamento le violazioni amministrative di cui agli artt. 130, comma 3 bis, 161 e 162, commi 2-bis e 2-quater. 2.4. Gli amministratori di sistema
Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.
Per questo il Garante ha deciso (doc. web n. 1577499) di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell' amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici (il provvedimento è disponibile al seguente indirizzo.
In particolare, il Garante ha stabilito quanto segue:
a. Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
34
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29, verificando cioè che il soggetto designato, in virtù della propria esperienza professionale, sia in grado di attuare correttamente tutte le previsioni del Codice.
b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
c. Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa ai lavoratori al momento dell'assunzione oppure menzionando i nominativi degli amministratori di sistema nel documento aziendale sull'uso della posta elettronica ed Internet da parte dei dipendenti. In alternativa, è possibile comunicare ai lavoratori i nominativi degli amministratori designati, mediante pubblicazione degli stessi sulla bacheca aziendale o sulla rete intranet.
d. Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
In altri termini, qualora un’azienda decida di affidare la gestione dei sistemi informatici ad un fornitore esterno, essa, in qualità di titolare del trattamento, dovrà nominare il fornitore quale proprio responsabile esterno del trattamento; l'atto di nomina a responsabile dovrà quindi prevedere un obbligo per il fornitore di procedere alla nomina delle singole persone fisiche che agiranno come amministratori di sistema per conto dell’azienda titolare e di comunicare gli
35
estremi di tali soggetti all’azienda titolare, la quale potrà così stilare un elenco interno da esibire al Garante in caso di controlli.
e. Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
f. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Si badi che il provvedimento del Garante sugli amministratori di sistema non si applica ai titolari del trattamento che possono beneficiare delle semplificazioni approvate dal Garante (si veda il precedente paragrafo 1.10).
2.5. La videosorveglianza
Il provvedimento del Garante dell'8 aprile 2010 in materia di videosorveglianza (doc. web n. 1712680) ha sostituto il precedente provvedimento del 29 aprile 2004, stabilendo le nuove regole alle quali sono tenute a conformarsi le aziende che decidano di installare telecamere e sistemi di videosorveglianza.
Ecco in sintesi le regole fissate dal Garante:
• Informativa: i soggetti che transitano nelle aree sorvegliate devono essere informati con cartelli della presenza delle telecamere, utilizzando il modello di informativa semplificata allegato al provvedimento del Garante. I cartelli devono essere resi visibili anche quando il sistema di videosorveglianza è attivo in orario notturno. Nel caso in cui i sistemi di videosorveglianza installati siano collegati alle forze di polizia è necessario apporre il diverso cartello allegato al provvedimento del Garante;
• Conservazione: le immagini registrate possono essere conservate per periodo limitato e fino ad un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini. Per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana. Eventuali esigenze di allungamento dovranno essere sottoposte a verifica preliminare del Garante. Devono
36
essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto;
• Sistemi integrati: per i sistemi che collegano telecamere tra soggetti diversi, sia pubblici che privati, o che consentono la fornitura di servizi di videosorveglianza "in remoto" da parte di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica preliminare del Garante;
• Sistemi intelligenti: per i sistemi di videosorveglianza "intelligenti" dotati di software che permettono l'associazione di immagini a dati biometrici (es. "riconoscimento facciale") o in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es. "motion detection") è obbligatoria la verifica preliminare del Garante;
• Modalità di ripresa: il trattamento deve essere effettuato con modalità tali da limitare l'angolo visuale all'area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.); • Misure di sicurezza: i titolari del trattamento devono proteggere i dati raccolti mediante sistemi di videosorveglianza con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini. I titolari hanno l'obbligo di implementare misure tecniche ed organizzative che consentano al titolare di verificare l'attività espletata da parte di chi accede alle immagini o controlla i sistemi di ripresa (se soggetto distinto dal titolare medesimo, nel caso in cui questo sia persona fisica) nel rispetto dei principi di seguito indicati:
• in presenza di differenti competenze specificatamente attribuite ai singoli operatori, sussiste l’obbligo di configurare diversi livelli di visibilità e trattamento delle immagini. Laddove tecnicamente possibile, in base alle caratteristiche dei sistemi utilizzati, i predetti soggetti, designati incaricati o, eventualmente, responsabili del trattamento, devono essere in possesso di credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza;
• laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione;
• nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele; in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda
37
indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini;
• qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo;
• la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza; le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (tecnologie wi-fi, wi-max, Gprs).
• Incaricati del trattamento: il titolare o il responsabile del trattamento (ove nominato) deve designare per iscritto quale incaricati del trattamento tutte le persone fisiche autorizzate (i) ad accedere ai locali dove sono situate le postazioni di controllo, (ii) ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, (iii) a visionare le immagini. I titolare o il responsabile del trattamento (ove nominato) deve individuare i diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono effettuare, a determinate condizioni, ulteriori operazioni (es. registrare, copiare, cancellare, spostare l'angolo visuale, modificare lo zoom, ecc.).
38
3. I RAPPORTI CON LE DIVERSE CATEGORIE DI INTERESSATI
3.1. Il trattamento dei dati personali dei dipendenti
Le aziende possono trattare i dati personali dei dipendenti, anche senza il consenso degli stessi, se il trattamento è necessario per eseguire il contratto di lavoro ed adempiere agli obblighi di legge. Ai dipendenti deve essere in ogni caso fornita un'informativa privacy contenente gli elementi previsti dall'art. 13 del Codice. Anche i dati sensibili dei dipendenti possono essere trattati senza consenso, purché (i) il trattamento sia necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza e (ii) il trattamento sia effettuato entro i limiti e con le modalità previste dall'autorizzazione generale del Garante per il trattamento dei dati sensibili nel rapporto di lavoro, che è rinnovata annualmente. Come regola generale, ogni altro trattamento dei dati personali dei dipendenti, che non sia strettamente necessario per eseguire il contratto di lavoro o adempiere ad obblighi di legge, può essere effettuato solo con il previo consenso libero e facoltativo del lavoratore. Ad esempio, secondo il Garante, il consenso del lavoratore è necessario anche per pubblicare informazioni personali allo stesso riferite (quali fotografia, informazioni anagrafiche o curricula) nella intranet aziendale (e a maggior ragione in Internet), non risultando tale ampia circolazione di dati personali di regola "necessaria per eseguire obblighi derivanti dal contratto di lavoro" (art. 24 del Codice). Per aiutare i datori di lavoro ad orientarsi nell’applicazione delle previsione del Codice, il Garante ha pubblicato delle specifiche linee guida (doc. web n. 1364939). Il Garante ha inoltre approvato delle ulteriori linee guida sull’uso della posta elettronica ed Internet nel contesto lavorativo (doc. web n. 1387522), chiarendo che i datori di lavoro hanno l'onere di specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli. Il Garante ha, inoltre, suggerito ai datori di lavoro di redigere un disciplinare interno sull'uso di Internet e della posta elettronica da parte dei dipendenti, portandolo a conoscenza degli stessi. L’Autorità ha poi vietato ai datori di lavoro di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori, svolti in particolare mediante:
a) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail; b) la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
39
c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo; d) l'analisi occulta di computer portatili affidati in uso.
Infine, il Garante ha stabilito che i datori di lavoro possono effettuare controlli "indiretti" a distanza sui lavoratori, anche senza il consenso degli stessi, allorquando ricorrano le condizioni previste dall’art. 4 dello Statuto dei Lavoratori, ovvero un accordo con le rappresentanze sindacali (o, in difetto, l'autorizzazione di un organo periferico dell'amministrazione del lavoro). 3.2. Il trattamento dei dati personali dei clienti
I dati personali di utenti/clienti possono essere trattati, anche senza il preventivo consenso degli stessi, se il trattamento è necessario (i) per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria o (ii) per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato. In ogni caso, il titolare del trattamento deve fornire all’interessato un’informativa privacy contenente gli elementi prescritti dall’art. 13 del Codice. Come regola generale, ogni altro trattamento di dati degli utenti/clienti, che non sia strettamente necessario per le finalità sopra indicate, può essere effettuato solo con il preventivo consenso libero e facoltativo dell’interessato. Ad esempio, è necessario uno specifico e separato consenso per il trattamento dei dati personali degli utenti/clienti per finalità di marketing (si veda il successivo capitolo 4) o per la comunicazione dei dati a soggetti terzi che agiscono quali autonomi titolari del trattamento (è il caso, ad esempio, della vendita/cessione di banche dati di clienti). 3.3. Il trattamento dei dati personali dei fornitori
A seguito dell'entrata in vigore della legge 22 dicembre 2011, n. 214, il Codice si applica unicamente al trattamento di dati personali di persone fisiche e, pertanto, in linea generale nei rapporti tra aziende e fornitori non occorre più fornire un'informativa privacy ed adempiere agli altri obblighi di legge. Può accadere, tuttavia, che un’azienda abbia dei rapporti con imprese individuali, consulenti o liberi professionisti, che sono giuridicamente da considerarsi quali persone fisiche (e non persone giuridiche), continuando così a trovare applicazione le prescrizioni del Codice, ivi incluso l'obbligo di fornire un'informativa privacy alla persona fisica cui i dati si riferiscono.
40
4. IL MARKETING E LA PROFILAZIONE
4.1. Il marketing
Prima di analizzare le previsioni del Codice che regolano la materia del marketing, è utile chiarire se ed in che misura tali previsioni siano applicabili anche al trattamento di dati relativi a persone giuridiche (come, ad esempio, il numero di telefono o l’indirizzo di posta elettronica di una S.r.l.), enti ed associazioni. A tal proposito è necessario introdurre le seguenti definizioni utilizzate nel Codice:
(i) “contraente”, ovvero “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate” (si tratta, in sostanza, dell’intestatario del contratto di servizio con il fornitore di servizi di telecomunicazioni);
(ii) "utente", ovvero “qualsiasi persona fisica che utilizza un servizio di comunicazione
elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata” (si tratta, in sostanza, della persona fisica che utilizza un servizio di telecomunicazioni, senza essere necessariamente il soggetto che ha stipulato il relativo contratto di servizio).
Lo scorso 20 settembre 2012 il Garante ha emanato un provvedimento (doc. web n. 2094932) allo scopo di fare chiarezza al riguardo, ricostruendo le più recenti modifiche che hanno interessato il Codice. In tale provvedimento l’Autorità ha ricordato come, secondo il testo originario dei primi due commi dell’art. 130 del Codice, (i) l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, nonché (ii) l’invio di comunicazioni elettroniche effettuate per le medesime finalità mediante posta elettronica, fax, MMS, SSM o altre tecnologie, fosse ammesso solo con il preventivo consenso dell’”interessato”. A seguito dell’approvazione del Decreto Legge 6 dicembre 2011, n. 6, che ha modificato la definizione di “interessato”, limitandola alle sole persone fisiche, molte aziende del settore marketing hanno legittimamente ritenuto di poter inviare comunicazioni commerciali a persone giuridiche senza più dover sottostare alle limitazioni previste codice. Rimaneva, tuttavia, impregiudicata la possibilità anche per le persone giuridiche, enti ed associazioni di iscriversi al c.d. registro delle opposizioni (si veda il successivo paragrafo 4.2) per opporsi alle chiamate promozionali effettuate con intervento di un operatore (telemarketing), atteso che i commi 3-bis, 3-ter e 3-quater dell’art. 130 del Codice, relativi appunto al registro delle opposizioni, richiamavano, e tutt’ora richiamano, i dati di cui all’art. 129, ovvero i dati degli “abbonati” (ora definiti come “contraenti” nel Codice), definizione questa che include indifferentemente tanto i dati delle persone fisiche quanto quelli delle persone giuridiche, enti ed associazioni. Senonché il successivo Decreto Legislativo 28 maggio 2012, n. 69 ha modificato il testo dei primi due commi dell’art. 130 del Codice, sostituendo la parola “interessato” con
41
quella di “contraente”, estendendo così la tutela contro chiamate senza operatore e comunicazioni commerciali via email, fax, MMS ed SMS anche alle persone giuridiche, agli enti ed alle associazioni. Alla luce di quanto sopra, l’Autorità ha chiarito che, sebbene le persone giuridiche, gli enti e le associazioni non godano più di molte delle tutele previste dal Codice, ad essi continuano, invece, ad applicarsi le norme del Codice che regolano i trattamenti a scopo di marketing. Tuttavia, l’Autorità ha messo in luce le contraddizioni generate dal legislatore e la scarsa sistematicità delle ultime riforme. Infatti, sebbene le previsioni del Codice in materia di telemarketing continuino astrattamente ad applicarsi anche alle persone giuridiche, agli enti ed alle associazioni, questi ultimi non possono più far valere i propri diritti dinnanzi al Garante, atteso che l’art. 141 del Codice, che regola la proposizioni di segnalazione, reclami e ricorsi all’Autorità, si applica esclusivamente ad “interessati” e, dunque, solo a persone fisiche, restando naturalmente impregiudicati i poteri dell’Autorità di agire d’ufficio e comminare le dovute sanzioni in caso di violazioni. Un’altra clamorosa “falla” del sistema, come ammesso dalla stessa Autorità, sta nel fatto che, qualora i dati delle persone giuridiche, enti o associazioni da utilizzarsi per finalità di marketing non siano tratti dai pubblici elenchi telefonici (non essendo pertanto operanti le norme sul Registro delle Opposizioni) ma siano reperiti altrove (ad esempio su Internet o su albi ed elenchi pubblici), le telefonate promozionali con operatore (telemarketing) e, in prospettiva, anche le comunicazioni pubblicitarie via posta cartacea sarebbero sempre consentite anche senza il previo consenso libero ed informato di tali persone giuridiche, enti ed associazioni, essendo le norme generali su informativa e consenso (ovvero gli artt. 13, 23 e 24) del Codice applicabili ai soli “interessati”, e dunque solo alle persone fisiche. Ciò chiarito, veniamo alla disciplina sostanziale del marketing, prendendo in considerazione sia le previsioni del Codice che la giurisprudenza del Garante. Come regola generale, per poter trattare dati personali per finalità di marketing, i titolari devono:
(i) fornire agli interessati un'informativa privacy conforme alle previsioni di legge ed alle prescrizioni del Garante; (ii) richiedere uno specifico e facoltativo consenso al trattamento (distinto da altri eventuali consensi), documentando adeguatamente per iscritto la scelta dell'interessato.
Se questo è il principio generale, la disciplina del marketing varia, in realtà, in base alle tecniche di comunicazione utilizzate, alla fonte dalla quale sono ottenuti i dati da trattare ed alla tipologia di destinatario della comunicazione (persone fisiche, da una parte, persone giuridiche, enti ed associazioni, dall’altra). Le imprese che effettuano trattamenti di dati personali per finalità di marketing devono verificare con attenzione, prima dell’inizio della propria attività, che le previsioni di legge in materia di privacy siano state correttamente rispettate. La violazione delle previsioni
42
di legge sopra citate, oltre ad esporre al rischio di subire ingenti sanzioni amministrative, può, infatti, comportare anche l’applicazione di sanzioni penali, essendo astrattamente possibile che il trattamento dei dati in violazione delle disposizioni del Codice sia considerato come effettuato “al fine di trarne per sé o per altri profitto o di recare ad altri un danno” (art. 167 del Codice).
IL CASO PRATICO
Nei confronti dell’amministratore delegato e del responsabile interno del trattamento di una nota società attiva nel settore della creazione e distribuzione di contenuti multimediali (la “Società”) si procedeva per il reato di cui all'art. 167, comma 1, d.lgs. 196/93 perché, in concorso tra loro, con più azioni ed in tempi diversi, al fine di trame un profitto (rappresentato dagli introiti commerciali e pubblicitari derivanti dall'uso, su internet, dei dati informatici ivi gestiti) avevano effettuato un trattamento dei dati personali in violazione degli artt. 23, 129 e 130 del Codice. In particolare, per comprendere l'accusa, occorre tener presente che tra Società ed un’altra società che gestiva un portare online (la “Società Cliente”) era in essere un contratto di concessione di spazi pubblicitari da parte della Società Cliente nei confronti della Società. Ciò grazie alla gestione di un sito, creato dalla Società Cliente, al quale era abbinato un servizio di newsletter, che conteneva un database di 457.058 iscrizioni. Secondo la contestazione formulata dal PM, la Società, dopo aver proceduto ad una risoluzione unilaterale del contratto con la Società Cliente, aveva effettuato un trattamento dei dati personali degli iscritti alla newsletter della Società Cliente, senza il consenso della Società Cliente e senza informare gli iscritti della cessazione della lista, continuando, anzi, a recapitare a questi ultimi (quantomeno, nella accertata percentuale del 39% di essi) altre newsletter non richieste tra le quali, in particolare una newsletter che pubblicizzava i servizi della Società. Inoltre, alla Società veniva contestato di aver inviato tale newsletter anche ad altri soggetti che non l'avevano richiesta né si erano iscritti ad alcuno dei servizi della Società. Il Tribunale condannava in primo grado l’amministratore delegato ed il responsabile interno del trattamento a nove mesi di carcere per il reato di trattamento illecito di dati personali. La Corte d’Appello confermava la decisione impugnata. Avverso tale decisione, gli imputati proponeva ricorso per Cassazione, deducendo, tra gli altri motivi, che tutte le persone sentite come testimoni in udienza ed individuate dall'accusa come destinatane delle e-mail indesiderate della Società avessero affermato in modo inconfutabile di non avere patito alcun fastidio da tale
43
ricezione indesiderata né alcun danno patrimoniale apprezzabile. Si contestava quindi l’equazione proposta dall'accusa secondo la quale anche l'invio di una sola mail non autorizzata avrebbe configurato il reato ipotizzato. La Corte di Cassazione riteneva invece che il nocumento che consegue all'illecito trattamento di dati personali sia di vario genere “non solo economico, ma anche più immediatamente personale, quale ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii”. Secondo la Cassazione, inoltre, non vi è - e non vi deve essere - alcun bisogno di identificare compiutamente ed interrogare decine (se non centinaia) di migliaia di utenti internautici, i dati personali dei quali siano stati utilizzati in violazione della normativa, perché, in fattispecie di tal fatta, per il numero delle persone e le caratteristiche non certo estemporanee dell'attività di marketing - il vulnus è di tale entità da potersi quasi definire in re ipsa. Per la Cassazione è, infatti, innegabile che l'utilizzo in rete, da parte della Società dei dati personali di almeno 177.090 persone ha rappresentato una indubbia e massiccia invasione della libertà personale sotto il profilo del diritto alla riservatezza di un più che significativo numero di persone (con potenziale rischio di ampliamento visto che il database sottratto dalla Società conteneva più di 400.000 nominativi), un indubbio fastidio, per la necessità di cancellare la posta indesiderata ed anche la messa in pericolo della privacy, attesa la circolazione non autorizzata di dati personali (diversamente "catturagli" per scopi illeciti). Nel caso di specie, sostenevano i giudici, il nocumento per gli interessati si é verificato in più modi ed in più direzioni. Ha toccato i destinatari che hanno dovuto subire l'invio della newsletter, aggravato, nei caso di coloro che a tale invio hanno deciso di reagire con la richiesta di cancellazione. Precisava poi la Cassazione che il nocumento, nel caso di specie, si era realizzato, sia, direttamente nei confronti dei soggetti i cui dati personali erano stati illecitamente utilizzati per scopi pubblicitari dalla Società, sia nei confronti della Società Cliente, giustamente definita "incolpevole partner del trattamento dei dati personali", che ha sicuramente tratto anche un danno alla propria immagine e che ha dovuto fronteggiare le proteste degli iscritti alla propria newsletter, i quali avevano autorizzato solo la Società Cliente al trattamento dei propri dati personali ma si erano, invece, visti raggiungere da newsletter pubblicitarie della Società. La Cassazione respingeva pertanto il ricorso, confermava la sentenza d’appello e condannava i ricorrenti al pagamento delle spese processuali oltre alle spese sostenute nel grado dalla parte civile, liquidate in complessivi 3000 Euro oltre accessori di legge.
È importante evidenziare che gli interessati che hanno prestato il proprio consenso al trattamento per finalità di marketing hanno il diritto di cambiare idea in qualsiasi momento e di opporsi ai successivi trattamenti, dandone semplice comunicazione al titolare (c.d. opt-out). Così stabilisce, infatti, l'art. 7, co. 4, let. b) del Codice, ai sensi del quale "l'interessato ha il diritto di opporsi, in tutto o in parte, […] al trattamento di dati personali che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale". Il titolare del trattamento deve predisporre idonee misure organizzative per porre a disposizione
44
degli interessati semplici modalità per esercitare i propri diritti (artt. 7 e 10 del Codice) e, nel caso in cui gli interessati si oppongano legittimamente al trattamento dei propri dati, il titolare deve registrare subito per iscritto l’opposizione così manifestata ed adottare idonee procedure affinché tale volontà sia rispettata.
4.2. Il telemarketing
La disciplina del telemarketing cambia in base all’origine dei dati trattati dal titolare ed alle modalità di effettuazione delle chiamate. Le chiamate effettuate tramite “sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore” (ad es. le chiamate con messaggi preregistrati) per finalità di marketing si possono effettuare solo con il previo consenso libero ed informato del contraente/utente (dunque indifferentemente persona fisica o persona giuridica), a prescindere dalla fonte dalla quale siano stati ottenuti i numeri che si intende contattare e dalla tipologia di destinatario della chiamata (art. 130, co. 1 del Codice). È evidente la ratio sottesa a questa norma: il legislatore ha ritenuto che tali chiamate promozionali siano particolarmente invasive, sia perché i sistemi automatizzati di chiamata consentono di realizzare contatti di massa sia perché i destinatari delle chiamate possono più difficilmente far valere i propri diritti in assenza di un interlocutore. In questo caso la regola del consenso preventivo non trova, pertanto, alcuna eccezione. Le chiamate con intervento di un operatore verso numeri di telefono fissi o mobili estratti dagli elenchi telefonici pubblici (appartenenti a persone fisiche, persone giuridiche, enti o associazioni), possono essere, invece, effettuate solo previa consultazione del “Registro delle Opposizioni” di cui agli art. 130, commi 3-bis, 3-ter e 3-quater del Codice. Il Registro delle Opposizioni è una c.d. “Robinson List”, ovvero una lista contenete i nominativi di quegli abbonati a servizi di telefonia fissa o mobile, i cui nominativi sono pubblicati negli elenchi telefonici pubblici, che non desiderano ricevere chiamate promozionali. Le aziende che intendono contattare numeri estratti dagli elenchi telefonici pubblici per finalità di telemarketing devono previamente iscriversi come operatori presso il Registro delle Opposizioni, che è gestito dalla Fondazione Ugo Bordoni (www.fub.it). In termini pratici, l’azienda dovrà comunicare la lista dei numeri estratti dagli elenchi pubblici che si intendono contattare; il gestore del Registro, mettendo a confronto le informazioni contenute nel Registro delle Opposizioni e la lista dei numeri forniti dall’azienda, cancellerà da quest’ultima tutti i numeri degli abbonati che hanno richiesto di non essere contattati, consegnando all’azienda una lista “pulita” degli utenti effettivamente contattabili, anche senza il preventivo consenso informato degli stessi. La lista così formata ha valore per un periodo massimo di 15 giorni, trascorsi i quali bisognerà nuovamente consultare il Registro prima di poter contattare i nominativi in essa contenuti (per ulteriori informazioni sul servizio e sulle tariffe applicate si prega di consultare il sito internet: http://operatori.registrodelleopposizioni.it/operatori/home-operatori). È importante evidenziare che le aziende possono ugualmente contattare il numero telefonico di un utente iscritto al Registro delle Opposizioni se sono in grado di provare di
45
aver ottenuto quel numero non già estraendolo dagli elenchi telefonici pubblici ma da altre fonti, avendo ottenuto il consenso libero ed informato dell’interessato. Ed infatti, le chiamate con intervento di un operatore (ad es. le chiamate effettuate da call center), se effettuate verso numeri di telefono fissi o mobili ottenuti da fonti diverse dagli elenchi telefonici pubblici, possono essere effettuate ove il titolare abbia ottenuto il previo consenso informato, libero e facoltativo dell’interessato (artt. 13, 23 e 24 del Codice). Se poi, come si è detto al precedente paragrafo 4.1, i dati appartengano a persone giuridiche, enti ed associazioni e siano stati ottenuti da fonti di verse dagli elenchi pubblici, le telefonate promozionali con operatore possono essere effettuate anche in assenza del preventivo consenso informato, non essendo gli artt.13, 23 e 24 applicabili alle persone giuridiche. Alla luce di quanto sopra, si consideri, ad esempio, il caso di un utente “A” (persona fisica) che, registratosi al sito Internet dell’azienda “B”, acconsenta liberamente al trattamento dei propri dati personali per ricevere offerte commerciali tramite telefono, e che, successivamente, si iscriva al Registro delle Opposizioni perché stanco di ricevere telefonate promozionali. In tal caso l’utente “A” non potrà essere contattato da imprese che estraggano il suo numero dagli elenchi telefonici pubblici, ma potrà continuare ad essere contatto, fino all’eventuale revoca del consenso, dall’azienda “B”, avendo questa estratto il numero di telefono di “A” da fonte diversa dagli elenchi telefonici pubblici ed avendo ottenuto il preventivo e facoltativo consenso di “A” al trattamento dei dati per finalità di telemarketing. Consideriamo, infine, l’ipotesi di chiamate promozionali effettuate verso numeri telefonici reperti non già dagli elenchi telefonici ma da altri pubblici registri, elenchi, atti o documenti conoscibili da chiunque. L’art. 24, co. 1, let. c) del Codice stabilisce che i dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque possono essere trattati anche senza il consenso degli interessati “fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati”. Fatto salvo in caso limite di un pubblico registro, elenco o atto la cui legge istitutiva consenta espressamente l’utilizzo dei dati per effettuare chiamate promozionali, in linea generale non è pertanto possibile trattare per finalità di telemarketing i dati personali provenienti da pubblici registri (es. albi professionali), elenchi, atti o documenti conoscibili da chiunque (es. documenti reperiti su Internet) senza il preventivo consenso libero ed informato dei soggetti interessati. Il Garante ha, tuttavia, chiarito che l’art. 24, co.1, let. c) del Codice deve essere interpretato nel senso che il trattamento è consentito solo ove:
(i) la specifica disciplina di riferimento abbia espressamente previsto l'attività di telemarketing; oppure
(ii) “tali comunicazioni risultino direttamente funzionali all'attività svolta dall'interessato, che è posta alla base dell'inserimento del dato telefonico nei pubblici registri, elenchi, atti o documenti conoscibili da chiunque di cui all'art. 24 del Codice, e sempreché non vi sia stata o sia manifestata opposizione al trattamento” (doc. web n. 1784528). In altri termini, sarebbe ad esempio possibile
46
trattare per finalità di telemarketing i dati personali di un professionista inscritto ad un albo professionale, purché le comunicazioni commerciali siano strettamente attinenti all’attività professionale dell’interessato.
La norma deve essere interpretata ed applicata restrittivamente. Il Garante ha, infatti, precisato che “il vincolo di finalità con la professione esercitata dall'interessato […] deve essere interpretato in termini rigorosi nel senso che tale vincolo implica la stretta attinenza del trattamento per finalità di marketing all'esercizio di tale specifica professione, come potrebbe ad esempio ritenersi l'invio di pubblicazioni scientifiche per finalità di aggiornamento ed approfondimento di tematiche giuridiche”. In applicazione di tale principio, il Garante ha, ad esempio, ritenuto illecita la telefonata promozionale effettuata da una compagnia telefonica ad un avvocato il cui numero di telefono era stato estratto dall’albo nazionale degli avvocati. L’Autorità ha ritenuto che “pur in presenza dei possibili vantaggi economici che l'offerta di servizi di telefonia business può offrire al professionista, il trattamento dei dati personali per finalità promozionali non può ritenersi "direttamente funzionale" all'esercizio della specifica attività forense svolta dall'interessato e giustificare l'esonero dall'acquisizione del consenso, limitandosi, tale offerta, ad offrire soluzioni astrattamente idonee a soddisfare le esigenze di un'indifferenziata tipologia di soggetti” (doc. web n. 1851415). Secondo il Garante “l'offerta dei servizi di telefonia rivolta al segnalante avrebbe dovuto essere ritagliata, per opzioni, modalità e costi sulle specifiche caratteristiche ed esigenze della categoria degli avvocati”. 4.3. Il marketing via email, fax, SMS o MMS
Il marketing via email, fax, SMS, MMS o altre forme di messaggistica può essere effettuato solo con il previo consenso libero ed informato del contraente o utente (art. 130, co. 2 del Codice). Dunque la regola si applica indipendentemente dal fatto che il destinatario della comunicazione sia una persone fisica, una persona giuridica, un ente o un’associazione. Si badi che non è possibile contattare un interessato per sollecitarlo a prestare il proprio consenso al successivo invio di comunicazioni promozionali. Infatti, la regola del consenso “non può essere elusa inviando una prima e-mail che, nel richiedere il consenso, abbia già un contenuto promozionale o pubblicitario”( doc. web n. 1489843); Per quanto riguarda il marketing via email, il Codice prevede una specifica eccezione alla regola generale del preventivo consenso. Infatti, ai sensi dell'art. 130, co. 4 del Codice "se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente". Questa norma consente di poter inviare email pubblicitarie aventi ad
47
oggetto prodotti o servizi analoghi a prodotti o servizi già venduti all'interessato (dunque i destinatari possono essere solo clienti o ex clienti), anche senza aver ottenuto un preventivo consenso libero ed informato. Le aziende possono, dunque, inviare email pubblicitarie a soggetti con cui hanno già avuto rapporti commerciali, a condizione che:
a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita; b) l'interessato, al momento della raccolta dei dati e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, sia stato informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4); c) l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni.
Essendo i soci di IAB tipicamente attivi nel settore dell’email marketing, prendiamo ora in considerazione i risultati dell’attività sanzionatoria dell’Autorità nell’anno 2011 ed analizziamo un caso pratico particolarmente interessante. Nel corso del 2011 il Garante ha fatto controlli su quattordici società operanti nei settori del direct email marketing e del mobile marketing. Dai riscontri effettuati è emerso che cinque di queste società non rispettavano il Codice, non avendo ottenuto ad esempio un valido consenso all’invio di sms promozionali, o non avendo fornito un’idonea informativa agli utenti registrati nei loro database. Nei confronti delle società sono stati adottati provvedimenti di divieto del trattamento illecito dei dati e, in alcuni casi, sono state date prescrizioni per adeguare il trattamento alle norme in materia di protezione dei dati personali. Alle quattro società che operavano senza consenso degli utenti, il Garante ha contestato anche sanzioni pecuniarie per un totale di circa 300.000 euro. In alcuni casi le società si avvalevano di server collocati negli Stati Uniti, trasferendo così i dati personali al di fuori dell’Unione Europea in assenza di validi presupposti di legge.
IL CASO PRATICO
Il Garante sottoponeva ad ispezione la ditta individuale INVIODEM di Tizio (di seguito "INVIODEM").
Nel corso dell'accertamento ispettivo, il sig. Tizio dichiarava che:
• INVIODEM era un'impresa individuale nata nel 2001, la cui principale attività consisteva nella gestione dei siti Internet INVIODEM.org e SITOCONCORSI.it: il primo, a fronte della ricezione di messaggi promozionali, consentiva agli iscritti di ricevere
48
crediti telefonici sulle proprie utenze mobili; il secondo consentiva agli iscritti di partecipare a concorsi a premi;
• mediante i predetti siti, INVIODEM registrava, in due database distinti (DB INVIODEM e DB SITOCONCORSI) i dati personali degli iscritti, tra i quali: numero di cellulare, operatore telefonico, email, data di nascita, comune, provincia, sesso e, a fronte delle prestazioni offerte, gli interessati erano tenuti a rilasciare il consenso per il trattamento dei predetti dati per finalità di marketing e propaganda elettorale;
• con i dati raccolti, INVIODEM effettuava campagne promozionali per conto di terzi-committenti, quali aziende ed esercizi commerciali, offerte tramite il sito SMSPUSH.IT;
• le campagne di marketing di INVIODEM erano veicolate attraverso sette società intermediarie;
• all'inizio del 2010, costituiva una società di diritto olandese avente sede ad Amsterdam, denominata OLANDADEM, la quale gestiva i servizi cd. "bulk sms e email" e non svolgeva alcun trattamento di dati personali, incaricandosi di fatturare le prestazioni rese da INVIODEM sulla base di uno specifico accordo;
• la titolarità dei dati personali utilizzati per le attività promozionali rimaneva in capo a INVIODEM, in quanto OLANDADEM svolgeva solo un'attività di intermediazione (dalla Olanda) nei confronti di società italiane (committenti) per servizi offerti da un'altra impresa italiana (INVIODEM);
• tutta l'attività di INVIODEM veniva svolta personalmente dallo stesso sig. Tizio senza necessità di uffici o strutture commerciali;
• i server che ospitavano i dati di cui INVIODEM è titolare si trovavano in una città italiana, presso la società SERVERITALIA.
Poiché da successive verifiche dell'ufficio emergeva che SERVERITALIA non aveva alcuna sede nella città indicata, il sig. Tizio rettificava tale dichiarazione rappresentando che i dati erano presenti nelle server farm di FARMITALIA, ubicate in Italia (a Torino e a Milano) e in Svizzera (a Zurigo e a Ginevra).
In sostanza, INVIODEM dichiarava che, per quanto riguarda le attività di marketing effettuate mediante l'invio di sms (cd. "sms advertising") ed email (cd. DEM, direct email marketing) trattava i dati personali, acquisiti tramite i predetti siti, per inviare comunicazioni promozionali per conto dei propri clienti. Questi ultimi, nella maggioranza dei casi, non erano i reali committenti della campagna, ma società che svolgono attività di intermediazione tra il committente (che si rivolgeva a loro per realizzare la campagna promozionale) e il fornitore di dati (INVIODEM).
Da quando è stata costituita la società OLANDADEM, il sig. Tizio richiedeva ai propri
49
clienti di rivolgersi a quest'ultima società per la realizzazione delle campagne, affinché quest'ultima veicolasse la richiesta pervenuta a INVIODEM, che, quindi, risultava essere fornitore di OLANDADEM.
Per quanto riguarda invece l'attività di "bulk sms e email" INVIODEM, tramite il proprio sito SITOBULK.it, metteva a disposizione di chi detiene una propria banca dati a cui intende inviare messaggi promozionali, una piattaforma informatica online, attraverso la quale coloro che si registrano al sito, possono effettuare invii massivi di messaggi promozionali.
Nel corso delle verifiche emergeva che dalla piattaforma web a sua disposizione il sig. Tizio accede anche ad un ulteriore database, denominato "MOLTINUMERI". Il titolare dichiarava che tale database, che conteneva circa 180.000 numeri di utenze telefoniche mobili, era stato costituito a seguito di accordi con la società francese FRENCHDATA.
Dalle risultanze istruttorie emergeva che tali accordi, conclusi nel 2008 e nel 2009, prevedevano ciascuno la creazione di 1.000.000 di anagrafiche da realizzarsi mediante l'organizzazione, da parte di FRENCHDATA, di un concorso a premi online finalizzato alla raccolta di numeri di telefoni cellulari. INVIODEM e altre ventuno aziende (non solo italiane) si incaricavano, in qualità di "sponsor", della promozione di tale concorso. Le iscrizioni al concorso generavano un record che veniva automaticamente registrato nei database delle ventidue aziende. Gli accordi, hanno determinato, per ciascun anno la creazione di 1.000.000 di record per un totale di 2.000.000 di record.
Sulla base delle dichiarazioni rese dal sig. Tizio, di questi 2.000.000 circa la metà erano stati eliminati dal database "MOLTINUMERI" a seguito di richiesta di cancellazione da parte degli interessati pervenuta a INVIODEM successivamente all'invio di un cd. "messaggio di benvenuto”. Con riferimento ai dati acquisiti tramite FRENCHDATA, il sig. Tizio dichiarava che il testo dell'informativa fornita all'atto del concorso era stato predisposto dalla società francese e ha successivamente fornito tale documento da cui si evinceva che la titolarità era in capo a quest'ultima.
Dalle risultanze ispettive emergeva che i dati presenti nel database "MOLTINUMERI" erano stati utilizzati da INVIODEM, nel corso del primo semestre del 2009, per realizzare una campagna per conto di una società televisiva italiana denominata “TVITALIA”, tramite la concessionaria CAIOAGENCY) che prevedeva l'invio di 680.000 sms promozionali. A seguito di tale campagna i record presenti nel database "MOLTINUMERI" erano ulteriormente diminuiti a causa delle richieste di cancellazione pervenute e, al momento dell'accertamento ispettivo, erano 180.699.
Riguardo al trattamento dei dati provenienti dai concorsi di FRENCHDATA, non risultava che INVIODEM avesse mai fornito, al momento della loro registrazione nel proprio database "MOLTINUMERI", alcuna informativa agli interessati ai sensi dell'art. 13, comma 4 del Codice e, a tal proposito, non poteva essere sufficiente né
50
l'informativa resa dalla società francese (in quanto non indicava le ventidue società a cui i dati sarebbero stati comunicati) né l'asserito invio di un messaggio di benvenuto da parte di INVIODEM, avvenuto, in ogni caso, mediante l'invio di una prima email.
Inoltre non risultava che INVIODEM, trattando i dati registrati nel database "MOLTINUMERI" in qualità di titolare del trattamento, avesse acquisito uno specifico consenso per l'invio di comunicazioni promozionali ai sensi dell'art. 130 del Codice, sia per inviare una prima email "di benvenuto" sia per l'inoltro dei successivi sms promozionali, come invece risultava essere avvenuto nel caso della campagna realizzata per conto di TVITALIA nel primo semestre del 2009.
Dalle dichiarazioni rese e dalla documentazione acquisita, risultava che l'attività principale di INVIODEM consisteva nel trattamento di dati personali per la realizzazione di campagne di sms advertising e di email marketing per conto di terzi sulla base di specifici target (ad es. età, provincia, sesso) da questi ultimi di volta in volta indicati.
L'attività di mobile marketing e DEM si svolgeva, come detto, utilizzando i dati raccolti tramite i siti web INVIODEM.org e SITOCONCORSI.it e veniva offerta mediante il sito SMSPUSH.IT. Dall'accertamento ispettivo risultava che i database relativi a tali siti erano logicamente separati e, all'epoca dell'ispezione, contenevano rispettivamente 61.053 (DB INVIODEM) e 37.979 (DB SITOCONCORSI) anagrafiche.
La gestione delle campagne pubblicitarie veniva curata esclusivamente e personalmente dal sig. Tizio, il quale riceveva gli ordini da sette società intermediarie (che a loro volta li ricevono dai propri clienti-committenti) e selezionava i target a cui inviare la promozione. Allo stesso modo, tutte le operazioni di cancellazione che pervenivano a INVIODEM, riferite ai dati presenti nel DB INVIODEM, nonché i relativi riscontri alle richieste degli interessati, venivano effettuate direttamente dal sig. Tizio. Solo le cancellazioni relative al DB SITOCONCORSI potevano essere effettuate in modalità automatica dall'interessato.
Con riferimento ai dati acquisiti tramite il sito SITOCONCORSI.it, il sig. Tizio dichiarava che tali dati permanevano nel relativo database per tutta la durata del concorso a premi. Al termine del concorso veniva inviata un'email ad ogni iscritto con la quale si comunicava, fra l'altro, che i dati dell'interessato sarebbero stati utilizzati per il successivo concorso, salvo richiesta di cancellazione.
Il sig. Tizio dichiarava inoltre che INVIODEM, per la realizzazione di campagne pubblicitarie, si avvaleva anche di dati personali in possesso di altre due aziende, titolari del trattamento: tale circostanza si realizzava quando INVIODEM, calcolando i dati presenti nei suoi database, non raggiungeva comunque il quantitativo di cellulari richiesto dal proprio cliente per una specifica campagna. Infatti, da un'interrogazione effettuata alla data dell'accertamento ispettivo mediante il sito SMSPUSH.IT risultava che vi era la disponibilità di 1.364.636 numeri di
51
telefoni cellulari e 542.749 indirizzi email, numeri molto superiori rispetto a quelli contenuti nei database a disposizione di INVIODEM.
In sostanza, quindi, emergeva che anche INVIODEM (oltre a fornire direttamente i numeri di cellulare di cui disponeva) avrebbe svolto in alcune occasioni, la funzione di "intermediario" tra il soggetto che si rivolgeva a INVIODEM per la realizzazione di campagne promozionali (che, come detto, nella maggioranza dei casi era a sua volta un intermediario) e altri "fornitori" che detenevano i numeri di cellulari. Le due società a cui INVIODEM si sarebbe rivolta in qualità di "intermediario" erano la citata FRENCHDATA (con dati, a detta del sig. Tizio, diversi da quelli generati dai due concorsi citati) e AZIENDAPINCO (impresa individuale che gestisce il sito ECCOSMS).
In tali casi INVIODEM non avrebbe avuto la disponibilità dei dati, ma avrebbe richiesto di volta in volta alle predette aziende l'invio dei messaggi senza effettuare alcun trattamento, aggiungendosi, di fatto, alla schiera degli intermediari che componevano la filiera del mobile marketing. Tuttavia, per l'aspetto appena descritto, dalle risultanze istruttorie non era emerso alcun riscontro documentale in ordine alle dichiarazioni rese riguardanti la collaborazione di INVIODEM con FRENCHDATA e AZIENDAPINCO.
Per quanto riguarda le concrete modalità di effettuazione delle campagne promozionali, il sig. Tizio dichiarava che INVIODEM, per l'invio di sms, acquistava pacchetti di messaggi a basso prezzo da alcune aziende. In particolare, emergeva che, per quanto riguarda l'invio di sms cd. di "alta qualità" (cioè messaggi con personalizzazione del mittente ed eventuale rapporto di consegna) INVIODEM si avvaleva della società indiana INDIADATA.
Per gli sms cd. di "bassa qualità" (con mittente non personalizzabile e senza rapporto di consegna) INVIODEM acquistava i pacchetti di messaggi dalla società PACCHETTISMS, con sede in Italia.
L'invio degli sms avveniva nella pratica mediante trasmissione di un file ai citati operatori contenente il testo del messaggio, il mittente e i numeri di cellulari dei destinatari. Dalle risultanze dell'accertamento ispettivo emergeva che i soggetti a cui erano inviati i predetti file non erano stati designati quali responsabili del trattamento.
Sotto il profilo della raccolta dati, va osservato che l'informativa resa da INVIODEM all'interno dei propri siti non risultava idonea, in quanto mancante di alcuni elementi relativi alle modalità di trattamento (in particolare il trasferimento dei dati all'estero, che avveniva allorquando INVIODEM trasmetteva il file contenente i numeri di cellulari cui inviare una campagna promozionale a INDIADATA, in India) e all'ambito di comunicazione dei dati.
Per quanto riguarda i limiti temporali di utilizzo dei dati, il Garante rilevava che i dati personali conferiti dall'utente per partecipare ad un concorso a premi venivano trattati da INVIODEM anche oltre la scadenza del concorso stesso, a meno che
52
l'utente non avesse formulato un diniego espresso. INVIODEM, pertanto, procedeva al trattamento di dati (raccolti con la specifica finalità di partecipazione ad un concorso anche dopo la conclusione del concorso stesso) in assenza di uno specifico consenso e senza che tale ulteriore trattamento fosse stato evidenziato nell'informativa.
Per quanto riguarda le modalità di invio dei messaggi, in nessun caso risultava che INVIODEM avesse designato i suoi partner (INDIADATA e PACCHETTISMS) quali responsabili del trattamento.
Inoltre, l’Autorità rilevava che l'invio dei messaggi tramite getaway stranieri (INDIADATA, in India) determinava un trattamento illecito di dati personali, consistente nel trasferimento dei dati all'estero, in assenza di una idonea informativa e al di fuori delle ipotesi di cui agli artt. 43 o 44 del Codice e determinando quindi un trattamento vietato ai sensi dell'art. 45 del Codice.
L'Autorità si riservava di verificare la liceità e correttezza delle dichiarazioni rese in ordine alla collaborazione di INVIODEM con AZIENDAPINCO e alla liceità e correttezza dei relativi trattamenti.
Il sig. Tizio dichiarava che la propria impresa svolgeva anche attività di bulk sms ovvero di invio massivo di messaggi sms per conto di propri clienti che potevano utilizzare una piattaforma messa a disposizione da INVIODEM.
Dall'istruttoria effettuata a seguito dell'accertamento ispettivo, risultava che tale attività si realizzava concretamente quando il cliente si registrava al sito SITOBULK.it e acquistava un servizio per inviare pacchetti di sms ai numeri dei cellulari di cui disponeva in quanto titolare. A tal proposito risulta che, all'atto della registrazione, INVIODEM richiedeva, a coloro che intendono registrarsi al predetto sito, l'indirizzo email e il numero di cellulare, senza rilasciare alcuna informativa.
La piattaforma offerta da INVIODEM consentiva la comunicazione fra i sistemi di quest'ultima e quelli dell'operatore (da cui, come detto, INVIODEM acquistava pacchetti di sms cioè INDIADATA o PACCHETTISMS, a seconda che si trattasse di "alta" o "bassa" qualità) che inviava il messaggio: il cliente di INVIODEM inseriva i numeri dei cellulari dei destinatari, unitamente al testo promozionale, nella piattaforma di INVIODEM, che automaticamente trasmetteva tale lista ai gateway degli operatori telefonici, per la concreta trasmissione dei messaggi. INVIODEM deteneva un archivio dei messaggi inviati, comprendente l'indicazione del cliente, l'elenco dei numeri dei destinatari e il testo inviato, che cancellava con cadenza annuale.
Per tale attività INVIODEM, pur trattando dati personali (ricevendo mediante la propria piattaforma i numeri di cellulare inseriti dai propri clienti) non risultava essere stata designata quale responsabile del trattamento da parte dei propri clienti.
Il Garante rilevava inoltre che, nel momento in cui archiviava e conserva i dati
53
relativi ai propri clienti e all'elenco dei numeri dei destinatari, INVIODEM effettuava in piena autonomia delle operazioni di trattamento, che per questa parte, la qualificavano quale titolare. Oltre a ciò il Garante rilevava che INVIODEM a sua volta trasmetteva i numeri dei destinatari, presenti nei rispettivi file, a un ulteriore soggetto per l'effettivo inoltro, senza alcun consenso e senza che vi fosse alcuna qualificazione di quest'ultimo nell'ambito del trattamento.
Dalle dichiarazioni rese risultava che per l'attività di "bulk sms" INVIODEM conservava nei propri sistemi anche l'indirizzo IP del cliente (che accedeva alla piattaforma per inserire l'elenco dei numeri di cellulari e il testo promozionale). Quest'ultimo poteva procedere autonomamente alla cancellazione del proprio archivio di messaggi inviati presente nella piattaforma, comprendente sia il numero dei destinatari sia il testo del messaggio, ma non poteva rimuovere il dato dell'indirizzo IP di accesso alla piattaforma medesima. A cadenza annuale il sistema provvedeva alla cancellazione totale degli archivi, compresi gli indirizzi IP memorizzati.
Per quel che concerne la raccolta dei dati di coloro che si iscrivono al sito per poter usufruire della piattaforma d'invio, non risulta che INVIODEM rilasci agli interessati alcuna informativa.
Per quanto riguarda il servizio "bulk sms", il Garante rilevava che INVIODEM non era stata designata quale responsabile del trattamento da parte dei soggetti che utilizzano la sua piattaforma per l'invio dei messaggi, pur trattando i dati personali da questi inseriti.
Inoltre, il Garante rilevava che l'utilizzo di gateway stranieri, in particolare posizionati al di fuori dell'Unione Europea (come nel caso della società indiana INDIADATA) determinava un trasferimento di dati all'estero, al di fuori delle ipotesi consentite dagli artt. 43 o 44 del Codice, determinando un trattamento illecito ai sensi dell'art. 45 del Codice.
Inoltre, per quanto attiene i dati presenti nei file inseriti dai propri clienti (contenenti, come detto, il nome del cliente, i numeri dei destinatari e il testo del messaggio promozionale), secondo il Garante INVIODEM agiva in qualità di titolare, archiviandoli e conservandoli, senza fornire agli interessati un'idonea informativa.
Per quanto sopra, il Garante rilevava la necessità di adottare nei confronti di INVIODEM un provvedimento di divieto per aver trattato i dati personali:
• provenienti da FRENCHDATA senza aver fornito agli interessati un'idonea informativa ai sensi dell'art. 13 comma 4, del Codice e senza aver acquisito uno specifico consenso per l'invio di comunicazioni promozionali automatizzate ai sensi dell'art. 130, come risulta avvenuto nella campagna promozionale realizzata per conto di TVITALIA;
• di coloro che si sono iscritti ai siti INVIODEM.org e SITOCONCORSI.it senza aver
54
rilasciato agli interessati una idonea informativa ai sensi dell'art. 13 del Codice, comprensiva dell'indicazione del trasferimento dei dati all'estero, e senza aver acquisito un consenso specifico per ciascuna finalità realizzata;
• trasferiti all'estero al proprio partner commerciale, la società indiana INDIADATA, in assenza di uno dei presupposti previsti dagli artt. 43 o 44 del Codice e realizzando, quindi, un trattamento vietato ai sensi dell'art. 45 del Codice;
• conservando e archiviando nei propri sistemi i numeri di cellulare che i clienti di INVIODEM inseriscono per le attività di "bulk sms", senza aver rilasciato un'idonea informativa e aver richiesto uno specifico consenso agli interessati;
• dei propri clienti che, iscrivendosi al sito SITOBULK.it, usufruiscono del servizio "bulk sms", senza aver rilasciato agli stessi una idonea informativa.
L'Autorità si riservava poi di verificare, con autonomo procedimento, la sussistenza dei presupposti per applicare le dovute sanzioni amministrative. 4.4. Il marketing via posta cartacea
Il marketing via posta cartacea segue regole simili a quelle del telemarketing. Se, infatti, gli indirizzi postali sono estratti dagli elenchi telefonici pubblici, il titolare del trattamento, ai sensi di quanto disposto dal comma 3-bis dell’art. 130 del Codice (come recentemente modificato dal Decreto Legge 13 maggio 2011, n. 70, convertito con Legge 12 luglio 2011, n. 106), deve previamente consultare il Registro delle Opposizioni, così come previsto per il telemarketing. Vi è, tuttavia, da considerare che, alla data di pubblicazione della presente guida, il Registro delle Opposizioni non è stato ancora adeguato alla nuova disciplina sul marketing postale, non essendo così possibile per gli operatori del settore beneficiare di questa opportunità. Qualora, invece, gli indirizzi postali siano ottenuti da fonti diverse dagli elenchi telefonici pubblici, valgono le regole generali su informativa e consenso (artt. 13 e 23 del Codice), per cui si potranno inviare comunicazioni commerciali agli interessati via posta cartacea solo avendo ottenuto il previo consenso libero ed informato degli stessi. Occorre, inoltre, considerare che, con provvedimento del 19 giugno 2008 (doc. web n. 1526724) il Garante ha previsto che, in applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, let. g) del Codice), i titolari del trattamento in ambito privato, che hanno venduto un prodotto o prestato un servizio, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò a condizione che:
a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;
55
b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4 del Codice); c) l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni.
4.5. Il Codice del Consumo ed il Decreto e-Commerce
La disciplina del Codice deve essere coordinata sia con le disposizioni del Codice del Consumo (Decreto Legislativo 6 settembre 2005, n. 206) sia con quelle del c.d. Decreto e-Commerce (Decreto Legislativo 9 aprile 2003, n. 70), che concorrono a formare un’unica, seppur non sempre coerente ed integrata, disciplina della materia. Iniziamo dalle norme del Codice del Consumo. Secondo l’art. 58, comma 1 del Codice del Consumo, rubricato “Limiti all’impiego di talune tecniche di comunicazione a distanza”:
“1. L’impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax richiede il consenso preventivo del consumatore, fatta salva la disciplina prevista dall’articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, per i trattamenti dei dati inclusi negli elenchi di abbonati a disposizione del pubblico. 2. Tecniche di comunicazione a distanza diverse da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal professionista se il consumatore non si dichiara esplicitamente contrario”.
La norma deve essere lettera congiuntamente all’art. 19-bis del Decreto Legge 30 dicembre 2005, n. 273, ai sensi del quale:
“L’articolo 58, comma 2, del codice del consumo di cui al decreto legislativo 6 settembre 2005, n. 206, si applica anche in deroga alle norme di cui al decreto legislativo 30 giugno 2003, n. 196”
Occorre, anzitutto, evidenziare che l’art. 58 del Codice del Consumo trova applicazione esclusivamente nei rapporti tra un “professionista” ed un “consumatore”1. 1 Ai sensi dell’art. 3, co. 1 del Codice del Consumo, “consumatore” è “la persona fisica che agisce per scopi estranei all'attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta” mentre “professionista” è “la persona fisica o giuridica che agisce nell'esercizio della propria attività imprenditoriale, commerciale, artigianale o professionale, ovvero un suo intermediario”.
56
Ciò chiarito, proviamo ora a capire come l’art. 58 del Codice del Consumo debba essere coordinato con l’art. 130, comma 2 del Codice. Le due disposizioni sembrano, invero, sostanzialmente coincidere (fermo restando che l’art. 130 si applica più estensivamente anche nei rapporti tra “professionisti”), stabilendo entrambe la necessità di ottenere il previo consenso del destinatario della comunicazione (opt-in) nei casi in cui quest’ultimo sia contattato tramite telefono, posta elettronica, fax o sistemi di chiamata automatizzati senza l’intervento di un operatore. Peraltro l’art. 58 del Codice del Consumo fa espressamente salva la norma del Codice che regolano il Registro delle Opposizioni, chiarendo così che se i dati di contatto sono estratti dagli elenchi telefonici pubblici occorre applicare il diverso regime dell’opt-out. Apparentemente, dunque, la disciplina del Codice del Consumo non pone particolari problemi di coordinamento con quella del Codice. In realtà sussistono alcuni dubbi interpretativi. Consideriamo i principali:
(i) È necessario raccogliere due consensi separati (uno ex art. 58 del Codice del Consumo e l’altro ex art. 130 del Codice)? Non vi è certezza giuridica al riguardo. Il fatto che siano previste sanzioni differenti in caso di violazioni (la violazione dell’art. 130 del Codice della Privacy è punita ai sensi dell’art. 162, co. 2-bis del Codice con una sanzione da diecimila euro a centoventimila euro; la violazione dell’art. 58 del Codice del Consumo è punita ai sensi dell’art. 62 del Codice del Consumo con una sanzione da tremila a diciottomila euro), sembra portare alla conclusione che i consensi debbano essere distinti. Tuttavia, a parere di chi scrive si tratterebbe di un’inutile duplicazione di adempimenti formali, atteso che la ratio delle due norme sembra essere identica. La posizione del Garante sul punto è ambigua. Nella gran parte dei provvedimenti sanzionatori emanati dal Garante viene applicata esclusivamente la sanzione per violazione dell’art. 130 del Codice della Privacy; tuttavia, in un provvedimento del 29 aprile 2009 (doc.web. 1629938) il Garante, in un caso in cui un’azienda aveva inviato comunicazioni pubblicitarie indesiderate via fax senza il preventivo consenso dell’interessato, ha applicato la sanzione prevista dall’art. 62 del Codice del Consumo (e non anche quella prevista dall’art. 162 del Codice). Non sembrano, in ogni caso, esservi provvedimenti del Garante in cui le due sanzioni siano state applicate congiuntamente o in cui sia stato espressamente stabilito l’obbligo di raccogliere due diversi consensi. Lo prassi consolidata del settore è comunque quella di raccogliere un solo consenso preventivo.
(ii) In considerazione di quanto previsto dall’art. 19-bis del Decreto Legge 30 dicembre 2005, n. 273, si può completamente disapplicare il Codice della Privacy qualora si utilizzino tecniche a distanza diverse da quelle di cui al comma 1 dell’art. 58 del Codice del Consumo?
Come si è visto l’art. 19-bis del Decreto Legge 30 dicembre 2005, n. 273 prevede che l’articolo 58, comma 2 del Codice del Consumo debba applicarsi anche in
57
deroga alle norme del Codice della Privacy. Ciò non vuol dire, tuttavia, che il Codice della Privacy possa essere interamente disapplicato. Infatti, come chiarito dal Garante in un provvedimento del gennaio 2011 (doc. web. 1878901), “con l'art. 19-bis del decreto legge del 30 dicembre 2005 n. 273 è stato previsto che l'esonero dal consenso preventivo del consumatore esplicasse effetti anche ai fini del consenso richiesto dalla disciplina sulla protezione dei dati personali, fermo restando, tuttavia, il rispetto degli altri adempimenti a tutela dei diritti dell'interessato, tra i quali quello relativo all'informativa”.
Veniamo ora alle norme del Decreto e-Commerce. L’art. 8 del decreto, che è richiamato anche dall’art. 130 del Codice della Privacy, stabilisce che le comunicazioni commerciali che costituiscono un servizio della società dell’informazione (in pratica qualsiasi comunicazione promozionale inviata tramite strumenti elettronici) devono contenere una specifica informativa diretta ad evidenziare:
a) che si tratta di comunicazione commerciale;
b) la persona fisica o giuridica per conto della quale è effettuata la comunicazione commerciale;
c) che si tratta di un'offerta promozionale come sconti, premi, o omaggi e le relative
condizioni di accesso;
d) che si tratta di concorsi o giochi promozionali, se consentiti, e le relative condizioni di partecipazione.
Il successivo art. 9, che riguarda le comunicazioni commerciali non sollecitate, stabilisce che “le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro e inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e contenere l'indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni 8 e 21 del decreto legislativo 9 aprile 2003, n. 70”. La norma si applica solo ai casi residuali in cui è possibile, ai sensi del Codice della Privacy, inviare messaggi di posta elettronica senza il consenso preventivo dell’interessato (si veda il precedente paragrafo 4.3). La violazione delle disposizioni sopra citate è sanzionata dall’art. 21 del Decreto e-Commerce con una sanzione amministrativa da centotre a diecimila euro. In casi di particolare gravità il limite minimo e massimo possono essere raddoppiati. Le disposizioni del Decreto e-Commerce sono, infine, richiamate anche dal comma 5 dell’art. 130 del Codice della Privacy, ai sensi del quale “è vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7, oppure esortando i destinatari a
58
visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003.”. 4.6. La profilazione
La c.d. “profilazione” consiste nell'utilizzo di informazioni relative ad un determinato soggetto al fine di ricostruirne una sorta di "ritratto" quanto alle determinazioni del soggetto stesso in ambiti specifici, che possono riguardare le abitudini commerciali, i gusti, gli interessi, la propensione al consumo ed ogni altro elemento idoneo a ricostruirne la personalità complessivamente intesa. L'elaborazione di profili è una tecnica che trova la sua principale applicazione nel settore del marketing, poiché il ricorso ai profili di consumatore-tipo nell'elaborazione delle strategie di marketing consente di orientare i consumi, adattando un certo tipo di prodotto ad una determinata categoria di consumatori, o di indurre nuovi consumi, tramite la creazione e commercializzazione di nuovi prodotti funzionali al soddisfacimento di bisogni indotti o emergenti. Il ricorso alle tecniche di profilazione, specialmente se combinato all'utilizzo delle moderne tecnologie informatiche, solleva numerosi problemi di natura sociale e giuridica. Infatti, la possibilità di effettuare in maniera automatizzata, veloce e capillare il trattamento ed il raffronto di numerosi dati personali afferenti a vaste popolazioni di interessati potrebbe consentire una vera e propria schedatura di massa. La classificazione di un individuo in una determinato categoria (c.d. cluster) potrebbe potenzialmente avere riflessi nella sfera politica (es. condizionando la propaganda politica e l'offerta di idee sul mercato politico) o comportare pericolose discriminazioni individuali fondate sulle stime e previsioni dei futuri comportamenti della persona profilata o, ancora, distorcere i meccanismi di mercato, condizionando la domanda sul marcato, o la neutralità dei media. In virtù di tali considerazioni il tema della profilazione è stato oggetto di attenzione sia da parte del legislatore sia da parte del Garante, il quale ha meglio precisato l'ambito di legittimità di tali trattamenti in numerosi provvedimenti 4.6.1 Il consenso
Il trattamento di dati personali a scopo di profilazione può essere effettuato soltanto previo consenso espresso e specifico dell'interessato, che il titolare dovrà documentare per iscritto.
Il consenso al trattamento a scopo di profilazione dovrà essere specifico e distinto dal consenso espresso dall'interessato per qualsiasi altra finalità. In particolare, esso dovrà essere distinto dal consenso relativo ad altre finalità di trattamento (es. marketing o comunicazione dei dati ad altri titolari del trattamento).
Il Garante per la protezione dei dati personali ha, infatti, in più occasioni chiarito che per procedere al trattamento di dati personali per finalità di profilazione è necessario
59
acquisire un consenso separato da parte dell’interessato rispetto al consenso acquisito per le finalità di marketing/vendita diretta.
Nel provvedimento a carattere generale del 24 febbraio 2005 ('Fidelity card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione – doc. web n. 1103045), che costituisce uno dei principali punti di riferimento in materia di profilazione, il Garante ha stabilito che "possono essere raccolti ed utilizzati i dati pertinenti e non eccedenti per l'invio di materiale pubblicitario - anche attraverso riviste di settore- o di comunicazioni commerciali o per la vendita diretta. Si tratta, di regola, dei soli dati direttamente correlati all'identificazione dell'intestatario della carta o di suoi familiari, ovvero di persone da esso indicate. L'eventuale utilizzazione di dati personali derivanti dalla profilazione deve essere oggetto di un consenso differenziato dei diretti interessati.". Ancora, nel medesimo provvedimento si afferma che "ogni altra finalità [ndr: rispetto alla mera esecuzione degli obblighi di contrattuali] di trattamento (profilazione e ricerche di mercato da un lato; marketing dall'altro) che comporti l'identificabilità degli interessati necessita, invece, del loro consenso specifico, informato e distinto per ciascuna di esse (art. 23 del Codice)".
Per quanto il provvedimento sopra citato si riferisca almeno formalmente alle c.d. "fidelity card" (utilizzate dalla grande distribuzione per fidelizzare la clientela attraverso raccolte punti ed agevolazioni sugli acquisti), esso contiene dei principi generali in tema di marketing/profilazione che il Garante ha più volte richiamato anche in provvedimenti aventi ad oggetto fattispecie diverse.
Valutando il trattamento ai fini di marketing e profilazione dei dati personali della clientela di un albergo (doc. web n. 1252220), il Garante ha precisato che "gli interessati debbono essere messi in grado di esprimere (consapevolmente e) liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano (Provv. 28 maggio 1997, in Boll. n. 1, p. 17, doc. web n. 40425), manifestando il proprio consenso (per dir così, "modulare") per ciascuna distinta finalità perseguita dal titolare (cfr. Provv. 24 febbraio 2005, punto 7). Tale capacità di autodeterminazione non è assicurata quando si raccoglie il consenso in modo indifferenziato per perseguire distinte finalità quali sono la definizione dei profili della clientela e l'invio alla medesima di comunicazioni commerciali (marketing), ben potendo essere ciascuna di esse perseguita singolarmente in presenza di un'autonoma valutazione e determinazione dell'interessato.".
Profilazione e marketing costituiscono in effetti finalità di trattamento autonome e distinte, disciplinate diversamente anche sul piano normativo. Tale è pacificamente l'impostazione del Garante, il quale ha sostenuto che esse "vanno considerate tra loro distinte, come già rilevato da questa Autorità nel provvedimento generale sull'uso delle c.d. carte di fidelizzazione (Provv. 24 febbraio 2005, in http://www.garanteprivacy.it, doc. web n. 1103045), e come risulta anche dal differenziato statuto normativo ad esse riservato. Mentre la definizione di profili individuali relativi alle preferenze e alle scelte di consumo è regolata in alcune disposizioni del Codice (artt. 14, 22, comma 10 e 37, comma 1, lett. d)), i trattamenti di dati personali effettuati a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
60
comunicazione commerciale trovano diversa disciplina (artt. 7, comma 4, lett. b) e 130 del Codice)." .
Occorre inoltre bene evidenziare che, poiché il consenso degli interessati deve essere oltre che specifico ed espresso anche libero, il titolare del trattamento non può subordinare la sottoscrizione o l'esecuzione di un contratto all'espressione del consenso per finalità di profilazione. Il Garante ha avvalorato tale interpretazione in numerosi provvedimenti (inter alia, provv. 19 dicembre 2008, doc. web n. 1584213; provv. 22 febbraio 2007, doc. web n. 1388590; provv. 10 maggio 2006, doc. web n. 1298709; provv. 3 novembre 2005, doc. web n. 1195215; provv. 12 ottobre 2005, doc. web n. 1179604), affermando che "non può definirsi "libero", e risulta indebitamente necessitato, il consenso ad un ulteriore trattamento dei dati personali che l'interessato "debba" prestare (aderendo a un testo predisposto unilateralmente dalla controparte) quale condizione per conseguire una prestazione richiesta".
Nel già menzionato provvedimento "Fidelity Card" si afferma, allo stesso modo, che "l'eventuale accettazione per iscritto delle clausole del regolamento di servizio deve essere distinta dalle formule utilizzate per ciascuna di queste due manifestazioni di libero consenso [n.d.r. marketing, da un lato, e profilazione, dall'altro]. L'adesione all'iniziativa di fidelizzazione non può essere condizionata alla manifestazione di tale consenso. Non è quindi lecito raccogliere un consenso generale ricorrendo ad una generica dichiarazione, comprendendo anche i casi in cui il consenso non è necessario o a prescindere dalle finalità perseguite.".
La necessità di rappresentare l'intenzione di profilare i dati deve essere manifestata con chiarezza ed inequivocabilità. In un provvedimento del 3 febbraio 2005 (doc. web n. 1109503), il Garante ha stabilito che "se si pone in essere un'eventuale monitoraggio o profilazione, o si intende cedere dati personali a terzi specificamente individuati, queste circostanze e le relative finalità devono essere indicate puntualmente e con evidenza sia all'atto della costituzione del rapporto, sia prima di evadere le singole richieste di servizio o sollecitare le risposte degli utenti. Deve risultare chiara la circostanza che per questi scopi (come pure per la partecipazione a sondaggi che devono avere fini chiaramente determinati e legittimi), il conferimento dei dati e il consenso sono liberi e facoltativi rispetto all'ordinaria prestazione dei servizi, e non possono ottenersi sulla base di pressioni o condizionamenti". 4.6.2 L'informativa
Il titolare del trattamento è tenuto a fornire agli interessati un'informativa privacy conforme alle previsioni di legge (art. 13 del Codice) ed alle prescrizioni del Garante. 4.6.3 Le modalità del trattamento
Ai sensi dell'art. 3 del Codice, che formalizza il c.d. principio di necessità, "i sistemi informativi e i programmi informatici" devono essere "configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate
61
mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.". In applicazione del principio di necessità, il Garante ha stabilito che "il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi" (provv. "Fidelity Card", par. 2). In altri termini, il titolare del trattamento deve ricorrere al trattamento di dati personali relativi a persone direttamente identificabili solo nella misura in cui non siano allo scopo utilmente utilizzabili dati anonimi o solo indirettamente identificativi (ad esempio, attribuendo agli interessati un codice numerico). Se la finalità di profilazione può essere perseguita con tali modalità "specie per quanto riguarda la profilazione della clientela per categorie omogenee, non è lecito utilizzare - e tanto meno conservare - dati personali o identificativi". In applicazione del principio di proporzionalità, il Garante ha invece affermato che "tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite" e che pertanto "l'utilizzazione di dati sensibili non è di regola ammessa per alcuna delle finalità indicate [n.d.r. marketing e profilazione], fatta salva l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. Ciò, vale anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie". Il principio di proporzionalità deve essere osservato anche nella fase di registrazione delle informazioni in banche dati, specialmente se centralizzate, essendo fatto divieto ai titolari di trattamento di interconnettere o raffrontare la banche dati contenenti i dati di profilazione con altre banche dati contenenti dati raccolti per altre e diverse finalità. In un altro recente provvedimento, avente ad oggetto proprio i trattamenti a scopo di profilazione effettuati da fornitori di servizi di comunicazione elettronica (Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione - 25 giugno 2009, in G.U. n. 159 dell'11 luglio 2009), con riferimento ai principi di necessità e proporzionalità, il Garante ha inoltre sostenuto che "l'attività di profilazione dovrebbe essere svolta utilizzando solo dati strettamente necessari al perseguimento della finalità e, in ogni caso, trattando solo dati per i quali, sulla base di quanto disposto dagli artt. 13 e 23 del Codice, il titolare abbia rilasciato una idonea informativa e sia in grado di documentare un consenso libero e specifico dell'interessato.". Il titolare del trattamento, dunque, non sarebbe legittimato a trattare dati personali che non risultano necessari al perseguimento della finalità di profilazione e dovrebbe in ogni caso indicare chiaramente all'interno dell'informativa quali dati debbano essere necessariamente comunicati in relazione a ciascuna finalità. 4.6.4 Le misure di sicurezza
Fermo restando che i titolari del trattamento devono implementare le misure di sicurezza generalmente prescritte dal Codice indipendentemente dagli specifici trattamenti effettuati, per quanto concerne più specificamente i trattamenti effettuati a fine di profilazione il Garante - nel provvedimento "Fidelity Card" - ha prescritto i seguenti ulteriori adempimenti per i titolari del trattamento:
62
a) "i dati eventualmente trattati a fini di profilazione o di ricerche di mercato devono essere conservati con adeguate modalità che portino a limitare l'ambito di circolazione dei dati allo stretto indispensabile, circoscrivendo qualitativamente e quantitativamente il numero di addetti aventi eventuale accesso alle informazioni;
b) sia escluso l'uso di sistemi e programmi che permettano, fuori dei casi consentiti, una ricostruzione organica di scelte, comportamenti e profili di interessati identificabili non soggetta alle previe valutazioni di questa Autorità ai sensi dell'art. 17 del Codice;
c) non si eludano, attraverso la preposizione di soggetti esterni quali responsabili del trattamento, le richiamate garanzie in tema di comunicazione e conservazione dei dati e di trasparenza nell'informativa riguardo alle finalità e ai soggetti che le perseguono;
d) si pongano a disposizione degli interessati, anche nell'informativa, specifici recapiti, anche di posta elettronica, per un agevole esercizio dei diritti.".
4.6.5 La notificazione
Ai sensi dell'art. 37 del Codice,
"1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
[…]
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti."
[…]
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio."
Prima di effettuare qualsiasi trattamento per fini di profilazione è dunque necessario notificare il trattamento al Garante.
Ciò vale anche per gli editori/ad network che utilizzano cookies o altre tecniche informatiche per veicolare pubblicità comportamentale o comunque profilare gli utenti. In un parere del marzo 2004 (Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione), il Garante ha, infatti, sottratto all’obbligo di notificazione solo i “i trattamenti di dati personali: [..] c) relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di
63
agevolare l’accesso ai contenuti di un sito Internet”. Ogni diverso utilizzo di cookies o altre tecniche informatiche di tracciamento deve invece essere previamente notificato al Garante.
IL CASO PRATICO
Il Garante riceveva una segnalazione secondo la quale una nota società attiva nel settore della vendita di servizi turistici online avrebbe inviato talune e-mail indesiderate di natura commerciale al soggetto segnalante.
Il Garante inviava alla società una richiesta di informazioni, assegnando alla stessa un termina massimo entro il quale rispondere.
Verificata la mancata risposta da parte della società nel termine indicato, il Garante chiedeva l’intervento del Nucleo speciale privacy della Guardia di finanza, che, su specifica delega dell’Autorità, svolgeva i dovuti accertamenti. La Guardia di finanza accertava che la società, in violazione dell'art. 130 del Codice, aveva trattato i dati personali del segnalante per finalità promozionali nonostante lo stesso, dopo essersi registrato sul sito Internet della società, si fosse opposto al trattamento dei propri dati personali revocando il consenso a suo tempo reso.
Il Garante accertava inoltre che nel form di registrazione al sito della società, non veniva richiesto un espresso consenso, distinto rispetto a quello necessario per finalità di marketing, all'impiego dei dati personali degli utenti per la finalità di profilazione posta in essere dalla società, come, tra l'altro, emergeva dalla stessa informativa presente nel predetto sito Internet, in violazione di quanto previsto dall'art. 23 del Codice;
Pertanto, il Garante contestava alla due distinte violazioni amministrative previste rispettivamente dall'art. 164 e dall'art. 162, comma 2-bis del Codice, in relazione agli artt. 157 e 23, informandola della facoltà di effettuare, per entrambe le violazioni, il pagamento in misura ridotta ai sensi dell'art. 16 della legge n. 689/1981.
La società sceglieva di non effettuare il pagamento in misura ridotto e di presentare degli scritti difensivi.
Il Garante rigettava le difese della società, rilevando (i) che la società aveva inviato all’interessato alcune e-mail indesiderate successivamente alla data nella quale l'interessato aveva revocato il consenso al trattamento dei propri dati, ciò determinando l'inosservanza di quanto previsto dall'art.130 del Codice e (ii) che la sanzione era stata comminata anche per la violazione dell'art. 23 del Codice per aver effettuato un trattamento di dati personali per la finalità di profilazione senza lo specifico consenso degli interessati.
Il Garante comminava, pertanto, una sanzione di euro 20.000 per la mancata risposta alla propria richiesta di chiarimento ed una sanzione di euro 60.000 per il trattamento dei dati personali per scopi di marketing e profilazione senza il consenso
64
dell’interessato.
Inoltre, in considerazione dell'art. 164-bis, comma 4, del Codice, che prevede che le sanzioni amministrative di cui al Titolo III, Capo I, del Codice possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore, ed in considerazione dell’utile realizzato dalla società nell’anno 2010, il Garante aumentava la sanzione sino ad euro 160.000.
IL CASO PRATICO
Un’associazione di consumatori inviava una segnalazione al Garante, lamentando che una nota società attiva nel settore dell’intermediazione immobiliare online, nel form di registrazione al suo sito Internet, richiedesse indistintamente per vari trattamenti di dati personali un unico consenso, peraltro configurato come preimpostato.
La società, al riguardo, si limitava ad affermare che il consenso degli interessati dal trattamento dei dati personali che vogliano accedere al sito "è liberamente prestato e con riferimento specifico all'attività del sito, posto che senza il consenso l'Utente non avrebbe la possibilità di riessere contattato e quindi di ricevere informazioni sull'immobile di riferimento".
Dall'accertamento condotto dal Garante, risultava che la società in oggetto, nel form di registrazione al sito, non richiedeva il consenso espresso e distinto per le finalità di profilazione dei clienti, di invio di comunicazioni promozionali, di comunicazione e di cessione di dati a terzi, poste in essere dalla medesima come emergeva dall'informativa del detto sito ("Il trattamento dei dati…sarà finalizzato a: … b) raccogliere dati ed informazioni in via generale e particolare sugli orientamenti e le preferenze dell'Utente; inviare informazioni ed offerte commerciali, anche di terzi; inviare materiale pubblicitario e informativo; effettuare comunicazioni commerciali, anche interattive;…elaborare studi e ricerche statistiche su vendite, clienti e altre informazioni, ed eventualmente comunicare le stesse a terze parti; cedere a terzi, anche al di fuori del territorio dell'Unione Europea, i dati raccolti ed elaborati a fini commerciali anche per la vendita o tentata vendita, ovvero per tutte quelle finalità a carattere commerciale e/o statistico lecite...").
Il Garante, peraltro, rilevava che l'unico consenso richiesto indistintamente dalla società per il trattamento dei dati personali era preimpostato.
L'art. 23 del Codice prevede invece che il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell'interessato libero, informato e specifico, con riferimento a un trattamento chiaramente individuato, e da documentare per iscritto; analogamente, l'art. 130, comma 2, del Codice prevede per l'invio di e-mail promozionali il preventivo consenso informato e specifico dell'interessato.
65
Inoltre, come già rilevato dall’Autorità (provv. 22 febbraio 2007, doc. web n. 1388590; provv. 12 ottobre 2005, doc. web n. 1179604; provv. 3 novembre 2005 , doc. web n. 1195215; provv. 10 maggio 2006 , doc. web n. 1298709 in www.garanteprivacy.it), non può definirsi "libero", e risulta indebitamente necessitato, il consenso ad un ulteriore trattamento dei dati personali che l'interessato "debba" prestare quale condizione per conseguire una prestazione richiesta; e che gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso - allorché richiesto per legge - per ciascuna distinta finalità perseguita dal titolare (cfr. provv. 24 febbraio 2005, punto 7, in www.garanteprivacy.it, doc. web n. 1103045).
Tale capacità di autodeterminazione non è assicurata quando si assoggetta l'accesso a un servizio alla preventiva autorizzazione a trattare i dati conferiti per il medesimo servizio per una finalità diversa, qual è quella promozionale e pubblicitaria, o quella di profilazione; con la conseguenza che i dati personali raccolti dal titolare (e conferiti dall'interessato) per l'esecuzione del rapporto contrattuale vengono di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice);
Il Garante rilevava inoltre che nel testo dell'informativa ex art. 13 del Codice, pubblicato sul sito della Società, non venivano specificati in modo chiaro e preciso i soggetti o le categorie di soggetti cui tali dati vengono comunicati e/o ceduti.
Infatti, in caso di comunicazione e/o cessione di dati personali a terzi, non solo deve essere richiesto uno specifico e libero consenso all'interessato, ma è anche necessario che questi, mediante idonea informativa, sia reso edotto almeno della categoria di soggetti cui sono trasmessi i suoi dati personali, e che, in mancanza di tale indicazione, l'informativa resa deve considerarsi inidonea, come già affermato dall’Autorità in diverse occasioni (provv. 26 giugno 2008, doc. web n. 1544326; provv. 25 giugno 2009, doc. web n. 1629107).
Per quanto sopra, il Garante concludeva che le attività di trattamento dei dati, come sopra individuate, effettuate dalla società senza il prescritto consenso costituissero quindi un trattamento illecito di dati.
Il Garante adottava quindi nei confronti della società un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, let. d) del Codice correlato alle attività di profilazione dei clienti, di invio di comunicazioni promozionali, di comunicazione e di cessione di dati personali a terzi senza l'acquisizione del necessario consenso preventivo e specifico degli utenti del sito.
Il Garante si riserva inoltre, con autonomo procedimento, la verifica dei presupposti per contestare al predetto titolare del trattamento le eventuali violazioni amministrative di competenza dell’Autorità. 4.7. I tempi di conservazione dei dati
66
Il Codice non prescrive tempi massimi di conservazione dei dati personali ma afferma solo un principio generale, in base al quale "i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono trattati devono essere cancellati o trasformati in forma anonima" (art. 11, comma 1, lett. e) del Codice).
In altri termini, raggiunto l'obiettivo per cui il trattamento dei dati è stato effettuato, il titolare del trattamento non avrebbe alcun motivo di conservare ulteriormente i dati trattati e dunque dovrebbe procedere alla loro cancellazione o alla loro trasformazione in forma anonima.
Nel provvedimento "Fidelity Card" il Garante ha sostenuto che "i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del Codice.".
L'obbligo di conservazione limitato ai dodici mesi dalla data di registrazione è in verità riferito dal Garante ai soli "dati relativi al dettaglio degli acquisti" e non sembra dunque potersi dedurre che tale limite sussista con riferimento anche ad altre tipologie di dati.
In un procedimento del 2005, riguardante le c.d. TV interattive (Tv Interattiva, misure necessarie ed opportune per un trattamento dei dati conforme alle disposizioni vigenti - 3 febbraio 2005), il Garante ha ribadito tale impostazione, rilevando che "anche laddove sia stato acquisito uno specifico consenso, i dati di dettaglio su acquisti e servizi possono essere eventualmente conservati per un periodo comunque non superiore a dodici mesi dalla loro registrazione, in riferimento a finalità commerciali, pubblicitarie o di profilazione, perseguite anche da parte di terzi, salva la loro trasformazione in forma anonima che non permetta di identificare gli interessati, anche indirettamente o collegando banche di dati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del Codice. In caso di cessazione del rapporto deve cessare ogni loro utilizzazione per le predette finalità. Deve essere individuato un termine di conservazione dei dati personali una volta cessato il rapporto anche in relazione ad eventuali finalità amministrative, non superiore ad un trimestre (fatti salvi eventuali specifici obblighi di legge sulla conservazione di documentazione contabile, evitando una loro applicazione impropria). Occorre specificare questi aspetti nell'informativa e predisporre idonei meccanismi di cancellazione automatica dei dati anche da parte di terzi ai quali gli stessi siano stati eventualmente comunicati (specie a fini di profilazione o di marketing).".
Tuttavia, vagliando la legittimità delle attività di profilazione della clientela di una catena alberghiera, il Garante ha ritenuto che "in applicazione dei principi di pertinenza e proporzionalità, va altresì segnalata la necessità di identificare i tempi massimi di conservazione dei dati trattati alla luce delle finalità in concreto perseguite dalla società mediante il trattamento dei dati raccolti, nonché delle scelte effettuate dall'interessato in ordine al loro trattamento (ad esempio nel caso di restituzione della
67
carta). I dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono stati trattati devono essere cancellati o trasformati in forma anonima (art. 11, comma 1, lett. e), del Codice). In particolare, nell'ipotesi in cui il trattamento dei dati sia preordinato alla […] creazione di profili dei clienti partecipanti o meno al programma "optime", risulta congrua la conservazione dei dati raccolti per la durata di dodici mesi decorrenti dalla registrazione delle informazioni e conformemente a quanto stabilito nel menzionato provvedimento del 24 febbraio 2005". Qui il riferimento sembra essere a qualsiasi dato trattato a scopo di profilazione, indipendentemente dal fatto che sia legato al "dettaglio degli acquisti".
Sul punto, purtroppo, non vi è certezza giuridica.
Alla luce di quanto sopra, occorre considerare che (i) in applicazione del principio di proporzionalità i dati trattati a scopo di profilazione non possono essere conservati per un periodo di tempo indefinito o eccessivamente lungo, (ii) i dati di dettaglio degli acquisti non possono essere conservati per un tempo di conservazione superiore a 12 mesi dalla data di registrazione dei dati e (iii) per tutti gli altri dati, che comunque non possono essere conservati a tempo indefinito o per periodo di tempo eccessivamente lunghi, non vi è certezza giuridica circa i tempi massimi di conservazione (sebbene un tempo massimo di 12 mesi dalla registrazione sembra comunque costituire il parametro di riferimento assunto dal Garante per valutare la legittimità dei trattamenti di dati personali a scopo di profilazione; in caso di contestazione, spetterebbe probabilmente al titolare provare che un tempo di conservazione maggiore è necessario in relazione agli scopi per i quali i dati sono trattati).
GLI AUTORI
Lapo Curini Galletti ([email protected]): è un legale specializzato in diritto dei media e delle nuove tecnologie, con un focus particolare sul mondo di Internet e della pubblicità online. Dopo un’esperienza come imprenditore ed operatore del settore (amministratore di ADVance S.r.l. e capo progetto di IN3), ha lavorato come legale presso alcuni importanti studi legali internazionali (Simmons&Simmons e DLA Piper). È fondatore di Synthesis (www.synetwork.it), un network di legali e professionisti che fornisce servizi integrati di consulenza nel settore ICT.
Italo de Feo ([email protected]): avvocato, partner presso l'ufficio di Roma dello studio legale internazionale CMS Adonnino Ascoli & Cavasola Scamoni (www.cms-aacs.com). È specializzato diritto delle tecnologie e della proprietà intellettuale, con particolare esperienza in materia di privacy, outsourcing di servizi tecnologici, software e licenze, regolamentazione di internet e delle telecomunicazioni. Ha la doppia qualifica di avvocato italiano e di solicitor inglese, avendo svolto parte della propria attività professionale presso l'ufficio di Londra di un primario studio legale internazionale. Socio fondatore della European Outsourcing Association Italy (www.eoaitaly.it), Italo de Feo è segnalato tra i professionisti di riferimento del settore TMT da alcune tra le principali guide legali internazionali (Legal500 2013, Chambers Legal 2012, Whoswholegal 2012).
Marco Leone ([email protected]): avvocato, lavora come associato nel dipartimento di Technology, Media & Telecoms dello studio legale internazionale CMS Adonnino Ascoli & Cavasola
Scamoni (www.cms-aacs.com). Si occupa di diritto dell’Internet e delle nuove tecnologie, ed in particolare di privacy e protezione dei dati personali. È un Certified Information Privacy Professional
(CIPP/E) e cura il sito www.livinginaglassworld.com, blog di informazione giuridica sul diritto della privacy e delle nuove tecnologie.
www.iab.it
www.cms-aacs.com Copyright © 2013 Lapo Curini Galletti, Italo de Feo, Marco Leone. I diritti di elaborazione in qualsiasi forma o opera, di memorizzazione anche digitale su qualsiasi tipo, di riproduzione e di adattamento totale o parziale con qualsiasi mezzo, i diritti di noleggio, di prestito e di traduzione e tutti gli altri diritti di proprietà intellettuale sono riservati per tutti i paesi. L’opera è concessa a IAB ed ai suoi soci in licenza d’uso perpetua e non esclusiva. La presente opera non costituisce un parere professionale ed essa, sebbene sia stata curata con scrupolosa attenzione, non può comportare l’insorgere di responsabilità in capo agli autori per eventuali involontari errori o inesattezze.
