News

LEGALFOR

Invio di materiale promozionale ad indirizzi PEC estratti da pubblici registri.

legalfor.fw

 

 

Con il provvedimento emanato in data 1 Febbraio 2018, il Garante per la protezione dei dati personali (di seguito il “Garante Privacy”) ha evidenziato uno dei principali profili di illegittimità connessi alla materia dello spam effettuato mediante l’invio massiccio di e-mail. A tal proposito, è opportuno richiamare la definizione di e-mail contenuta nel Parere n. 5/2004, resa dal Working Party Art.29: “qualunque messaggio inviato tramite comunicazioni elettroniche, che non richieda la partecipazione simultanea del mittente e del ricevente”. In relazione a tale strumento, è opportuno specificare come l’ambito oggettivo del fenomeno dello spam sia da identificarsi nell’invio illecito di comunicazioni commerciali o di materiale pubblicitario, nonché l’invio di comunicazioni finalizzate alla vendita diretta o al compimento di ricerche di mercato.

 

Nel caso in esame, l’Authority italiana ha, in primo luogo, accertato la violazione da parte di una società di comunicazione (di seguito la “Società” o la “Compagnia”) degli artt. 13, 23 e 130 del Codice in materia di protezione dei dati personali (di seguito il “Codice Privacy”) e, in secondo luogo, ha vietato l’ulteriore trattamento degli indirizzi PEC estratti da registri e siti pubblici. Di riflesso, il Garante Privacy ha prescritto la cancellazione dei suddetti dati personali, poiché ottenuti in totale assenza di un previo consenso da parte dei diretti interessati. La fattispecie trae origine da molteplici segnalazioni formulate da liberi professionisti quali avvocati, commercialisti, consulenti del lavoro, revisori contabili e notai, destinatari di comunicazioni PEC indesiderate, a contenuto promozionale da parte della Società. In particolare, i summenzionati messaggi avevano ad oggetto la notifica della pubblicazione di un bando di selezione relativo alla figura professionale di “consulente reputazionale”, nonché la possibilità di partecipare a seminari online in merito al bando in questione. La condotta esaminata dal Garante ha poi riguardato l’attività di diffusione di articoli concernenti la Società, effettuata, anch’essa, per mezzo di comunicazioni elettroniche.

 

Alla luce dell’elevato numero di indirizzi di posta elettronica certificata oggetto di trattamento e sulla base delle verifiche effettuate presso la sede della Società, è emerso come quest’ultima abbia violato la disciplina a tutela dei dati personali, avendo la stessa omesso di informare previamente e debitamente i professionisti interessati, circa le finalità per le quali avrebbe trattato tali dati.

 

In particolar modo, mediante il provvedimento in esame, il Garante Privacy ha tracciato una netta distinzione tra la mera consultazione di dati personali, accessibili attraverso registri pubblici e la relativa estrazione orientata all’invio di comunicazioni di natura promozionale. E’ stata, perciò, confermata la rilevanza della finalità sottesa al trattamento di dati personali facilmente consultabili, a seconda che tale utilizzo avvenga ad opera di un soggetto pubblico o privato.

 

Il Garante ha raggiunto le proprie conclusioni, sulla base dell’interpretazione del combinato disposto ex artt. 23 e 24 del Codice Privacy, ai sensi dei quali, il trattamento di dati personali deve necessariamente fondarsi su un previo consenso libero, informato e specifico o, alternativamente, su un presupposto equipollente previsto dalla legge. Tali eccezioni legislative sono giustificate dalla ratio sottesa alle stesse, ossia agevolare la posizione dell’utente: a titolo esemplificativo, facilitandone l’esecuzione di “obblighi derivanti da un contratto del quale è parte l'interessato”, oppure quando il trattamento riguarda “dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque”, entro i limiti e le modalità previste ex lege.

 

Inoltre, ai sensi degli artt. 3 e 11 del suddetto Codice, gli indirizzi di posta elettronica devono essere utilizzati e conservati secondo i principi di correttezza, finalità, proporzionalità e necessità, così come sancito dal Garante Privacy nelle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013. Nello specifico, la condotta adottata dalla Società è sussumibile nell’art.13 co.4 del Codice Privacy, dal momento che i dati dei destinatari delle comunicazioni non sono stati raccolti direttamente presso i soggetti interessati e quest’ultimi avevano il diritto di essere previamente informati, in merito ad eventuali trattamenti successivi all’atto di registrazione dei dati o, in ogni caso, precedentemente alla prima comunicazione ricevuta. In particolare, i professionisti non avevano ricevuto alcuna informativa che facesse riferimento ad un’eventuale trattamento di dati, né era stata richiesta l’autorizzazione a tal fine.

 

Nonostante la Società si dichiarasse braccio operativo di un’associazione Onlus (di seguito definita “Associazione”), il Garante ha rilevato un rapporto di co-titolarità intercorrente tra i due soggetti giuridici, in merito al trattamento degli indirizzi PEC. Contrariamente a quanto prospettato nel corso del procedimento, infatti, la distinzione tra titolare (l’Associazione) e responsabile (la Società) del trattamento, risulta essere fallace alla luce dell’evidente coinvolgimento di entrambi i soggetti in un unico progetto con finalità promozionali.

 

Alla luce di quanto verificatosi, è importante analizzare la fattispecie della rinvenibilità dei dati personali nei registri pubblici o comunque da documenti conoscibili da chiunque, distinguendola dalla fattispecie di trattamento per finalità di marketing lato sensu intese. Ciò impone che il soggetto interessato abbia previamente, ed espressamente, accettato che i dati personali che lo riguardano, vengano trattati per una di quelle finalità, che il titolare vuole porre in essere e per cui la normativa richiede un rilascio del consenso.

 

La posizione assunta dall’Authority italiana è giustificata dalla finalità sottesa alla pubblicazione degli indirizzi PEC in registri e siti pubblici, contrastante con l’estrazione massiva degli stessi operata dalla Società nel caso di specie. In altri termini, la possibilità di consultare indirizzi PEC su registri o siti pubblici è libera e senza oneri, mentre l’estrazione è consentita esclusivamente alle pubbliche amministrazioni per effettuare comunicazioni volte a garantire adempimenti amministrativi di loro competenza, così come sancito ai sensi dell’art.16 comma 10 del Decreto Legge n. 185/2008. L’agevole accesso ai dati in parola, infatti, non ne giustifica l’utilizzo incondizionato, bensì intende favorire lo scambio telematico di informazioni tra pubblica amministrazione e imprese e professionisti, nonché agevolare la presentazione di istanze, dichiarazioni e dati da parte di questi ultimi.

 

Inoltre, nonostante la Società abbia negato la natura promozionale delle comunicazioni inviate, in quanto volte al riconoscimento di crediti formativi professionali, il Garante Privacy ha contestato il carattere sociale di detto scopo. Quest’ultima, infatti, era evidentemente finalizzata a promuovere l’immagine della Compagnia, nonché a pubblicizzarne l’attività di consulenza reputazionale. Dunque, ai sensi dell’art.130 co.1 e 2 del Codice Privacy, l’Authority italiana ha confermato la necessità del rilascio del consenso preventivo da parte dei soggetti interessati, ai fini della legittimità della comunicazione promozionale posta in essere da parte della Società, tramite posta elettronica.

 

Alla luce delle finalità promozionali, per le quali la Società ha estratto i dati personali in questione dai registri pubblici, l’Authority italiana ha vietato l’ulteriore trattamento e ha prescritto la cancellazione, senza ritardo, degli stessi entro 30 giorni dalla data di ricezione del provvedimento in esame. Il Garante ha, inoltre, rammentato che, ai sensi dell’art.170 del Codice, la mancata osservazione del provvedimento verrà punita con la reclusione da 3 mesi a 2 anni, nonché con una sanzione amministrativa da 30.000 a 180.000 euro.

 

 

Avv. Mauro Festa