Profiling commerciale? E’ necessario il consenso espresso e specifico del cliente Garante Privacy , prescrizione e divieto 16.12.2009
Consento o non consento? Questo è il problema…”
Ecco
l’enigma a cui si trova di fronte l’utente-consumatore, moderno Amleto,
ogni volta in cui è chiamato ad esprimere il consenso al fine del
trattamento dei dati personali conferiti, solitamente, in sede di
stipula di un contratto.
Tempi di soluzione dell’enigma?
Brevissimi: spesso superficiale e frettoloso, non si preoccupa di
capire cosa accadrà delle informazioni rilasciate; crocetta e via, per
non perdere tempo e limitare la seccatura.
Poi, però, si lamenta
del fatto che la sua cassetta postale strabordi di pubblicità, che il
suo telefono squilli in continuazione perché vogliono proporgli di
comprare di tutto di più, dalla lavatrice all’enciclopedia.
Ebbene,
con il provvedimento in esame il Garante della Privacy interviene a
gamba tesa dichiarando illegittima la condotta aziendale che sottoponga
i dati personali conferiti a trattamento finalizzato al profiling
commerciale a fronte di un consenso al trattamento espresso in via
generica.
Il profiling commerciale è l’insieme
delle attività che, attraverso l’elaborazione dei dati conferiti,
consentono all’azienda di “etichettare” il cliente, mediante operazioni
di classificazione basate sulla selezione dei suoi gusti e preferenze.
Giuridicamente, potremmo parlare di “sussunzione della specie al genus”.
Una
volta individuato il tipo di appartenza, l’utente viene bersagliato da
offerte commerciali di ogni tipo, sotto forma di proposte di acquisito,
piuttosto che di adesione etc…aventi ad oggetto le preferenze espresse.
Se
si considera, poi, che i dati conferiti all’azienda X potranno dalla
stessa essere venduti a terzi e così via, è evidente che la dimensione
spropositata che il fenomeno dello scambio dei dati trattati viene ad
assumere.
Ora, questa condotta commerciale assume
connotati di illiceità se tenuta in presenza di un consenso al
trattamento espresso in via generica e non specifica, cioè in assenza
di un chiaro e manifesto riferimento alla finalità del trattamento.
Detto
altrimenti: è vietato all’azienda richiedere un unico consenso con
riferimento a plurime finalità del trattamento dei dati.
Tale condotta, infatti, si pone in aperto contrasto con la norma dell’art. 23, D.Lgs. n. 196/2003 in materia di privacy che recita “il
consenso è validamente prestato solo se è espresso liberamente e
specificamente con riferimento ad un trattamento chiaramente
individuato”.
Va altresì ricordato che, il consenso
al trattamento dei dati per finalità legate all’esecuzione del
contratto, in relazione al quale è avvenuto il conferimento, NON E’
NECESSARIO, perché si intende intrinseco alla volontà di conclusione
del contratto medesimo.
Il caso esaminato dal Garante, e
sfociato nell’adozione della pronuncia in commento, è terminato con una
condanna dell’azienda alla modifica della modulistica inerente la
raccolta del consenso, in modo da garantire all’utenza la possibilità
di prestare consensi differenziati in relazione alla finalità del
trattamento.
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, PRESCRIZIONE E DIVIETO 16 DICEMBRE 2009
No alla profilazione occulta.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA
riunione odierna, in presenza del prof. Francesco Pizzetti, presidente,
del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro
Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo
Patroni Griffi, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);
VISTO
l’accertamento effettuato, nell’ambito dell’attività ispettiva di
iniziativa curata dall’Ufficio del Garante, in data 23 settembre 2009
presso la sede legale di ASM Energia e Ambiente S.r.l. (di seguito,
ASMEA) e il relativo verbale di operazioni compiute, volto a dare
esecuzione alla richiesta di informazioni ex art. 157 del Codice,
datata 23 giugno 2009;
RILEVATO che, dagli elementi
emersi nel corso del predetto accertamento ispettivo, risulta che ASMEA
effettua la raccolta, la conservazione e l’elaborazione dei dati
personali dei clienti in relazione a diverse finalità;
RILEVATO
che, dall’esame del modello di raccolta del consenso utilizzato dalla
società e consegnato in copia in occasione della suddetta ispezione
(allegato n. 5), viene richiesto il consenso rispetto ai trattamenti
effettuati per adempiere alle obbligazioni contrattuali (punto n. 1);
VISTA
la normativa in materia di protezione dei dati personali, la quale
prevede che il titolare del trattamento potrebbe prescindere dal
richiedere il consenso rispetto ai trattamenti effettuati per eseguire
obbligazioni derivanti da contratti di cui è parte l’interessato (art.
24, comma 1, lett. b) del Codice);
RILEVATO che sul
richiamato modello viene poi richiesto un unico consenso in relazione
ai dati che possono essere utilizzati: per inviare al cliente le
informazioni commerciali delle società del Gruppo A2A (al quale
appartiene la stessa ASMEA); per effettuare analisi delle abitudini e
scelte di consumo, ricerche di mercato (realizzate anche con la
collaborazione di terzi) attraverso lettere, telefono, e-mail e altri
sistemi di comunicazione; per lo svolgimento di attività finalizzate
all’elaborazione di studi e ricerche di mercato; per la realizzazione
di attività dirette di vendita o di collocamento di prodotti/servizi e
per l’invio di informazioni commerciali anche informatiche, nonché per
l’invio di materiale pubblicitario/informativo, anche da parte degli
stessi terzi (punto n. 2);
VISTO l’art. 23, comma 3, del
Codice, in forza del quale “il consenso è validamente prestato solo se
è espresso liberamente e specificamente con riferimento ad un
trattamento chiaramente individuato”;
RILEVATO che nel
modello utilizzato da ASMEA la formula di consenso è viceversa
generica, comprendendo trattamenti per finalità (effettuare analisi
delle abitudini e scelte di consumo, inviare informazioni commerciali)
per le quali il consenso deve essere specificamente acquisito per legge;
CONSIDERATO
che, come già rilevato da questa Autorità (cfr. Provv. 24 febbraio
2005, punto 7, doc. web n. 1103045; Provv. 12 ottobre 2005, doc. web n.
1179604; Provv 22 febbraio 2007, doc. web n. 1388590; Provv 5 marzo
2009, doc. web n. 1615731, in http://www.garanteprivacy.it), gli
interessati devono essere messi in grado di esprimere consapevolmente e
liberamente le proprie scelte in ordine al trattamento dei dati che li
riguardano, manifestando il proprio consenso per ciascuna distinta
finalità perseguita dal titolare;
RILEVATO che non
risulta quindi conforme ai criteri di liceità e correttezza nel
trattamento dei dati personali, nonché al principio di finalità la
scelta di ASMEA di richiedere un unico consenso per finalità ulteriori
e tra loro diverse, quali quelle di analisi delle abitudini e scelte di
consumo e di invio di informazioni commerciali, di materiale
pubblicitario informativo, anche da parte di terzi (art. 11, comma 1,
lett. a) e b) e art. 23, comma 3, del Codice);
RILEVATA
pertanto la necessità che ASMEA modifichi la modellistica utilizzata
per acquisire il consenso, fornendo ai clienti la possibilità di
prestare consensi differenziati in relazione alle distinte finalità
sopra indicate;
RILEVATO che il trattamento di dati
personali che non risulta effettuato in modo lecito da parte di ASMEA
ha carattere sistematico;
CONSIDERATO che il Garante, ai
sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del
Codice, ha il compito di vietare anche d’ufficio il trattamento
illecito o non corretto dei dati o di disporne il blocco e di adottare,
altresì, gli altri provvedimenti previsti dalla disciplina applicabile
al trattamento dei dati personali; considerato inoltre che il Garante,
ai sensi dell’art. 154, comma 1, lett. c) del Codice ha il compito di
prescrivere al titolare le misure opportune o necessarie per rendere il
trattamento conforme alle disposizioni vigenti;
RILEVATA
pertanto la necessità di adottare nei confronti di ASMEA un
provvedimento di divieto del trattamento illecito di dati personali ai
sensi dell’art. 154, comma 1, lett. d) del Codice correlato alla
raccolta di dati personali della clientela in assenza di una chiara
informativa e di richieste di consenso differenziato in relazione alle
diverse finalità perseguite dalla società;
TENUTO CONTO
che, ai sensi dell’art. 170 del Codice chiunque, essendovi tenuto, non
osserva il presente provvedimento di divieto è punito con la reclusione
da tre mesi a due anni e che, ai sensi dell’art. 162, comma 2-ter del
Codice, in caso di inosservanza del medesimo provvedimento, è altresì
applicata in sede amministrativa, in ogni caso, la sanzione del
pagamento di una somma da trentamila euro a centottantamila euro;
CONSIDERATO
che l’art. 11, comma 2, del Codice prevede che i dati personali
trattati in violazione della disciplina rilevante in materia di dati
personali non possono essere utilizzati;
VISTA la documentazione in atti;
VISTE
le osservazioni dell’Ufficio formulate dal segretario generale ai sensi
dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
TUTTO CIÒ PREMESSO IL GARANTE:
a)
vieta a ASM Energia e Ambiente S.r.l., ai sensi degli artt. 143, comma
1, lett. c) e 154, comma 1, lett. d), del Codice, l’ulteriore
trattamento risultato illecito in atti, nonché di utilizzare le
dichiarazioni di consenso al trattamento dei dati già rilasciate dagli
interessati per finalità di analisi delle abitudini e scelte di consumo
dei clienti e di comunicazione pubblicitaria o promozionale (art. 11,
comma 2, del Codice), ferma restando l’utilizzabilità dei dati per
finalità di fornitura dei servizi richiesti. Ciò, con effetto dalla
data di notificazione del presente provvedimento presso la sede,
residenza o domicilio risultanti dagli atti o comunque accertati
dall’organo notificante;
b) prescrive alla
predetta società, ai sensi dell’art. 154, comma 1, lett. c) del Codice,
di adottare entro il giorno 10 febbraio 2010 le misure necessarie
indicate nel presente provvedimento al fine di rendere il trattamento
di dati personali conforme alle disposizioni vigenti e, in particolare,
di:
1. modificare il modello di raccolta
del consenso, fornendo ai clienti la possibilità di prestare consensi
differenziati in relazione alle distinte finalità sopra indicate;
2.
trasmettere al Garante entro il medesimo termine del 10 febbraio 2010
un esemplare della modellistica utilizzata per il rilascio del
consenso, riformulata in conformità alle indicazioni fornite con il
presente provvedimento.
Roma, 16 dicembre 2009
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Patroni Griffi
