Il Garante per la Protezione dei Dati Personali, con provvedimento n. 4 del 12 gennaio 2017, ha precisato la disciplina relativa al trattamento di dati personali per finalità di marketing, dichiarando illegittimo sia il trattamento di dati raccolti per il tramite di moduli presenti all’interno dei siti internet delle società sia il trattamento di dati (i.e. le utenze telefoniche) autonomamente reperiti sul web.

Premessa

Con provvedimento n. 4 del 12 gennaio 2017, il Garante per la Protezione dei Dati Personali (di seguito il “Garante”) è intervenuto nuovamente in materia di trattamenti effettuati per finalità di marketing. Il provvedimento riguardava, nello specifico, una società attiva nella fornitura di servizi informatici, la quale, attraverso un modulo presente all’interno del proprio sito internet e destinato alle richieste di preventivo relative ai servizi offerti dalla società, raccoglieva e poi trattava i dati dei clienti, per l’invio – tra l’altro – di comunicazioni promozionali. A seguito delle verifiche svolte dal Garante, è emerso in particolare che i dati dei clienti così raccolti, riferibili nella quasi totalità dei casi a persone giuridiche o ad altri soggetti titolari di partita IVA (quali imprese individuali e liberi professionisti), venissero trattati in assenza di uno specifico consenso, da parte degli interessati, per l’invio di comunicazioni automatizzate a contenuto promozionale. Sotto altro profilo, veniva, inoltre, accertato che la società, allo scopo di acquisire nuovi clienti e di promuovere i servizi dalla stessa commercializzati, contattasse le utenze telefoniche autonomamente reperite all’interno delle aree “contatti” presenti sui siti Internet di società, professionisti e imprenditori, in assenza di informativa e senza che venisse richiesto l’apposito consenso. Prima di esaminare le decisioni assunte dal Garante in relazione ai trattamenti appena descritti, è opportuno verificare in che misura la disciplina dettata dal d.lgs. n. 196/2003 (di seguito il “Codice della Privacy”) trova applicazione a favore delle persone giuridiche.

1. La tutela accordata dal Codice della Privacy alle persone giuridiche

Come noto, a seguito delle modifiche apportate dall’art. 40, comma 2, lett. a), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214 (c.d. Salva Italia), il trattamento dei dati riferibili alle persone giuridiche non è più soggetto, nella generalità dei casi, alla disciplina dettata dal Codice della Privacy. A tale regola generale fanno eccezione alcune diposizioni particolari in tema di “comunicazioni indesiderate”. In particolare, l’art. 130, comma 1, del Codice della Privacy dispone che “fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente”. Prosegue, poi, al comma 2, prevedendo che “la disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo MMS (Multimedia Messaging Service) o SMS (Short Message Service) o di altro tipo”. Come si evince dalla lettera della norma, la disposizione in commento si applica al contraente o all’utente e non già all’interessato (e cioè alla persona fisica cui si riferiscono i dati personali). A questo riguardo, l’art. 4, comma 2, lett. f) e g), del Codice definisce il contraente come “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate” e l’ utente come “qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata”. Ne deriva che, ogniqualvolta una persona giuridica assuma la qualità di contraente – nel senso appena specificato – il trattamento dei suoi dati per l’invio di comunicazioni automatizzate a contenuto promozionale è legittimo soltanto a condizione che sia stato richiesto e ottenuto il suo preventivo consenso. Sul tema, il Garante è successivamente intervenuto con le Linee Guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, le quali, al punto 2.2, stabiliscono che “ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l’art. 130, commi 1 e 2, del Codice, in base al quale l’utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in). Quindi, ai fini della legittimità della comunicazione promozionale effettuata, non è lecito, con la medesima, avvisare della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali”.

2. Le decisioni assunte dal Garante

Tornando, ora, al caso oggetto del provvedimento in commento, il Garante ha dichiarato illegittimo sia il trattamento dei dati raccolti per il tramite del modulo presente all’interno del sito internet della società sia il trattamento dei dati (i.e. le utenze telefoniche) autonomamente reperiti sul web dalla società. Con riferimento al primo, in quanto il trattamento veniva effettuato, senza richiedere e ottenere dai clienti (persone fisiche e giuridiche) il preventivo e specifico consenso all’invio di comunicazioni automatizzate a contenuto promozionale, secondo quanto prescritto dagli artt. 23 e 130, comma 1, del Codice. Con riferimento al secondo, in quanto il trattamento dei dati personali di professionisti e imprese individuali veniva effettuato in assenza di previa informativa e relativo consenso (con conseguente violazione degli artt. 13 e 23 del Codice). La circostanza che tali dati siano stati autonomamente reperiti su Internet risulta peraltro irrilevante. La pubblica conoscibilità dei recapiti telefonici presenti sul web, infatti, non implica affatto la possibilità di un libero ed incondizionato utilizzo dei medesimi per scopi differenti da quelli che ne hanno reso necessaria la pubblicazione online. Del resto, come affermato dal Garante nelle già citate Linee Guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, “senza il consenso preventivo non è possibile inviare comunicazioni promozionali con i predetti strumenti [telefonate, fax, email, mms, sms e simili] neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque”.