Il Garante per la Protezione dei Dati Personali, col provvedimento n. 202 del 17 maggio 2023, ha sanzionato un’impresa per aver trattato illecitamente i dati personali del reclamante mediante l’invio di e-mail promozionali senza consenso.
La vicenda
Il reclamante ha lamentato la ricezione di e-mail promozionali indesiderate da parte di una società di costruzioni. L’interessato aveva già manifestato in precedenza la propria opposizione all’impresa titolare del trattamento, senza che a questa avesse fatto seguito la cessazione dell’invio dei messaggi promozionali.
In sede di reclamo, la società titolare ha dichiarato che i messaggi promozionali erano destinati in via generalizzata ai professionisti del settore, i cui nominativi comparivano in diversi elenchi pubblici. Il trattamento, secondo quanto prospettato dalla società, era avvenuto in conformità a quanto previsto dal Considerando 47 del Regolamento 2016/679 (GDPR) e dall’articolo 130 del Codice in materia di protezione dei dati personali (d.lgs. 196/2003, di seguito Codice). Il Considerando 47 del GDPR disciplina il c.d. legittimo interesse del titolare del trattamento dei dati personali, mentre l’articolo 130 del Codice disciplina l’uso di sistemi automatizzati per l’invio di messaggi promozionali o commerciali.
Inoltre, secondo quanto sostenuto dalla società, l’invio dei messaggi dopo l’opposizione del reclamante era dovuto ad un malfunzionamento del sistema gestionale e, in ogni caso, la ricezione poteva essere disattivata tramite il link apposto in calce ad ogni messaggio, di cui il reclamante non si era però mai avvalso.
Il Garante con l’atto di avvio del procedimento di reclamo ha contestato la violazione degli articoli 5 par. 1, lett. a) (principio di liceità, correttezza e trasparenza nel trattamento dei dati personali), 6 par. 1, lett. a) (consenso dell’interessato), 17 (c.d. diritto all’oblio) e 21 (diritto di opposizione al trattamento) del GDPR e dell’articolo 130 del Codice (sistemi automatizzati). Quest’ultimo ammette l’invio di comunicazioni con modalità automatizzate solo col consenso del contraente o utente, salvo il caso in cui l’indirizzo e-mail sia stato rilasciato dall’interessato nel contesto di un rapporto contrattuale pregresso.
Le valutazioni del Garante
In primo luogo, il Garante ritiene che non possa essere invocato il Considerando 47 del GDPR, che ipotizza un legittimo interesse al trattamento quando si trattino dati per attività di marketing diretto. L’ipotesi all’esame dell’Autorità consiste infatti in un’attività promozionale svolta attraverso canali di comunicazione elettronica che soggiace alla disciplina speciale contenuta nel Titolo X del Codice, relativo appunto alle Comunicazioni elettroniche.
In particolare, l’articolo 130 autorizza l’invio di messaggi promozionali con modalità automatizzate solo col consenso del contraente, salvo il caso, previsto dal comma 4, in cui l’indirizzo e-mail sia stato rilasciato dall’interessato nell’ambito di una vendita di beni o servizi analoghi. Quest’ultima previsione derogatoria non è applicabile al caso di specie, in quanto le persone contattate non avevano in precedenza instaurato col titolare alcun rapporto contrattuale.
In secondo luogo, il Garante con le Linee guida del 4 luglio 2013, relative all’attività promozionale e al contrasto allo spam, ha chiarito che «non è possibile inviare messaggi promozionali quando i dati personali siano tratti da registri pubblici, elenchi […] senza il previo consenso dell’interessato».
Pertanto, il trattamento dei dati realizzato dalla società mediante l’invio di messaggi promozionali è illecito, dal momento che il titolare aveva attinto i nominativi degli interessati da elenchi pubblici. A questo proposito, il Garante precisa che non ha nessuna rilevanza la circostanza che nelle e-mail fosse presente un link per disattivare la corrispondenza manifestando la propria opposizione: è l’invio dei messaggi ad essere illecito, prima ancora del loro contenuto o delle misure attuabili per contenere il pregiudizio nei confronti degli interessati.
Per questo motivo, si riscontra la violazione:
- dell’articolo 6 par. 1, lett. a) del Regolamento, sulla liceità del trattamento previo consenso dell’interessato;
- dell’articolo 130 del Codice, sull’invio di materiale pubblicitario o di vendita diretta tramite sistemi automatizzati previo consenso dell’interessato.
Quanto agli invii avvenuti dopo l’opposizione manifestata dal reclamante, il Garante riscontra la violazione:
-dell’articolo 5 par. 1, lett. a) del Regolamento, sul principio di liceità, correttezza e trasparenza nel trattamento dei dati;
-dell’articolo 17 del Regolamento, sul diritto alla cancellazione dei dati personali dell’interessato, c.d. diritto all’oblio;
-dell’articolo 21 del Regolamento, sul diritto di opposizione al trattamento dei dati personali dell’interessato.
La decisione
Il Garante dichiara illecito il trattamento oggetto del reclamo; impone alla società il divieto di trattare per finalità promozionali i dati personali per i quali non sia in grado di dimostrare l’acquisizione di un idoneo consenso; ingiunge di provvedere alla cancellazione di detti dati.
Inoltre, irroga una sanzione amministrativa pecuniaria ai sensi dell’articolo 58, par. 2, lett. a) del GDPR. Per la determinazione della sanzione considera alcune circostanze aggravanti, tra cui l’ampia portata dei trattamenti e la gravità delle violazioni e alcune circostanze attenuanti, tra cui il carattere colposo della violazione e la predisposizione del link in calce alle e-mail quale misura di contenimento dei potenziali danni per gli interessati.
La sanzione, alla luce del bilanciamento tra diritti degli interessati e libertà di impresa, è pari a € 10.000. Il provvedimento del Garante dispone anche la sanzione accessoria della pubblicazione sul sito istituzionale dell’Autorità, nonché l’annotazione delle violazioni rilevate nel registro interno dell’Autorità.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.