La circostanza che le numerazioni telefoniche siano di fatto conoscibili da una pluralità di soggetti in quanto presenti in Internet, non implica che le stesse possano essere legittimamente trattate per qualsivoglia finalità.
Un non corretto trattamento dei dati personali da parte di società che svolgono attività di marketing o sondaggi sul web ha come effetto la violazione delle prescrizioni contenute nel Codice in materia di protezione dei dati personali, a partire dal consenso e dal principio di finalità.
Il Garante, a seguito di una segnalazione promossa da diverse società i cui data base sarebbero stati utilizzati in maniera indebita da una società terza per l’invio di comunicazioni a contenuto patrimoniale si è pronunciato su tale problematica richiamando la normativa di settore per poi giungere ad una decisione che ha cristallizzato attraverso il Provvedimento n. 4 del 12 gennaio 2017.
L'articolo continua dopo la pubblicità
Segui tutti gli aggiornamenti nel dossier dedicato alla Privacy
Tutta la normativa aggiornata sulla Privacy nel Commento breve al Regolamento europeo per la privacy
A seguito della attività ispettiva svolta, dall'Autorità in collaborazione con il Nucleo speciale privacy della Guardia di finanza, è emerso che attraverso un’unica opzione per la manifestazione del consenso degli interessati venivano trattati i loro dati, oltre che per la conclusione e la esecuzione dei contratti stipulati (trattamento di per sè lecito), per svolgere ulteriori attività con il fine di pubblicità, da irrogare via email, o per compiere ricerche di mercato e sondaggi.
Nella fattispecie presa in esame dal Garante sarebbe mancata la capacità di autodeterminazione di utenti e contraenti (e quindi la libertà del consenso che sono chiamati a manifestare) in quanto la acquisizione del consenso al trattamento dei dati non prevedeva il conseguimento di finalità diverse qual è quella promozionale e pubblicitaria; con la conseguenza che i dati raccolti dal titolare (e conferiti dall'interessato) per l'esecuzione del rapporto contrattuale venivano di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, anche in violazione del principio di finalità.
Il Provvedimento in esame contiene una ulteriore importante precisazione nel senso che la circostanza che le numerazioni telefoniche utilizzate siano di fatto conoscibili da una pluralità di soggetti in quanto presenti in Internet, non implica che le stesse possano essere legittimamente trattate per qualsivoglia finalità ‒ nel caso di specie, quella promozionale ‒ da parte di terzi.
Suddetta precisazione era presente anche nel provvedimento generale del 29 maggio 2003 che esclude, con riferimento a tali dati, il loro utilizzo per finalità promozionali quando siano conoscibili da chiunque "per mere circostanze di fatto", quali la loro reperibilità sui siti web, o tramite appositi software o mediante comuni motori di ricerca.
Ciò a significare che il solo fatto della rinvenibilità di un indirizzo e-mail in uno spazio pubblico di Internet non comporta un uso libero dello stesso per mailing elettronico. Al contrario, deve ritenersi che le numerazioni telefoniche in parola, collocate nei siti web dei vari operatori economici oggetto dell'attività promozionale della società terza erano preordinate ad agevolare i soli "contatti" dei gestori dei rispettivi siti web con riguardo allo svolgimento delle rispettive attività professionali o imprenditoriali; la loro fattuale disponibilità non può invece giustificare (né consente di desumere) che soggetti terzi possano trasformare tali recapiti in un proprio veicolo pubblicitario (piegandone così la finalità originaria ad un uso diverso).
Per questi motivi, il Garante ha vietato il trattamento per finalità promozionali mediante contatto telefonico dei dati, con riferimento alle numerazioni telefoniche, relativi a liberi professionisti e imprese individuali presenti sui siti web facenti capo ai medesimi.
L’Autorità ha, altresì, prescritto alla società terza, quale misura necessaria, la riformulazione del modello di raccolta dei dati sul proprio sito web, affinché venga acquisito dalla clientela un consenso, oltre che informato, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali, nonché documentato per iscritto.
Alla luce della direttiva 2002/58/CE: "… Il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all'utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un'apposita casella nel caso di un sito internet.").
Ne consegue che gli operatori del settore possono ritenersi liberi di scegliere il metodo che ritengono opportuno nell'ambito della propria libertà organizzativa. Inoltre, non è necessario che il consenso acquisito abbia forma scritta, a pena di invalidità del medesimo, ma è comunque necessario che il titolare del trattamento adotti misure idonee a darne prova fornendo alcuni elementi tali da poter ritenere acquisito il consenso e circostanziare tale acquisizione. In particolare, è necessario che risultino documentati, nella modalità che si ritenga di adottare, la data in cui è stato reso e gli estremi identificativi di chi lo ha ricevuto, adottando altresì, contestualmente, analoghe procedure idonee a garantire che la volontà dell'interessato di revocare il suo consenso venga effettivamente rispettata (cfr. provvedimento 30 maggio 2007, doc. web n. 1412598).
Appare utile adottare sistemi di verifica della identità del contraente che si è registrato ad un sito web perché interessato a ricevere offerte promozionali. In tal senso, ad esempio, l'invio di una apposita e-mail al suo indirizzo di posta elettronica con la quale si chiede di confermare la propria identità cliccando su un apposito link.