Consento o non consento? Questo è il problema

Transcript

1 Profiling commerciale? E necessario il consenso espresso e specifico del cliente Garante Privacy, prescrizione e divieto (Marta Buffoni) Consento o non consento? Questo è il problema Ecco l enigma a cui si trova di fronte l utente-consumatore, moderno Amleto, ogni volta in cui è chiamato ad esprimere il consenso al fine del trattamento dei dati personali conferiti, solitamente, in sede di stipula di un contratto. Tempi di soluzione dell enigma? Brevissimi: spesso superficiale e frettoloso, non si preoccupa di capire cosa accadrà delle informazioni rilasciate; crocetta e via, per non perdere tempo e limitare la seccatura. Poi, però, si lamenta del fatto che la sua cassetta postale strabordi di pubblicità, che il suo telefono squilli in continuazione perché vogliono proporgli di comprare di tutto di più, dalla lavatrice all enciclopedia. Ebbene, con il provvedimento in esame il Garante della Privacy interviene a gamba tesa dichiarando illegittima la condotta aziendale che sottoponga i dati personali conferiti a trattamento finalizzato al profiling commerciale a fronte di un consenso al trattamento espresso in via generica. Il profiling commerciale è l insieme delle attività che, attraverso l elaborazione dei dati conferiti, consentono all azienda di etichettare il cliente, mediante operazioni di classificazione basate sulla selezione dei suoi gusti e preferenze. Giuridicamente, potremmo parlare di sussunzione della specie al genus. Una volta individuato il tipo di appartenza, l utente viene bersagliato da offerte commerciali di ogni tipo, sotto forma di proposte di acquisito, piuttosto che di adesione etc aventi ad oggetto le preferenze espresse. Se si considera, poi, che i dati conferiti all azienda X potranno dalla stessa essere venduti a terzi e così via, è evidente che la dimensione spropositata che il fenomeno dello scambio dei dati trattati viene ad assumere. Ora, questa condotta commerciale assume connotati di illiceità se tenuta in presenza di un consenso al trattamento espresso in via generica e non specifica, cioè in assenza di un chiaro e manifesto riferimento alla finalità del trattamento. Detto altrimenti: è vietato all azienda richiedere un unico consenso con riferimento a plurime finalità del trattamento dei dati.

2 Tale condotta, infatti, si pone in aperto contrasto con la norma dell art. 23, D.Lgs. n. 196/2003 in materia di privacy che recita il consenso è validamente prestato solo se è espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato. Va altresì ricordato che, il consenso al trattamento dei dati per finalità legate all esecuzione del contratto, in relazione al quale è avvenuto il conferimento, NON E NECESSARIO, perché si intende intrinseco alla volontà di conclusione del contratto medesimo. Il caso esaminato dal Garante, e sfociato nell adozione della pronuncia in commento, è terminato con una condanna dell azienda alla modifica della modulistica inerente la raccolta del consenso, in modo da garantire all utenza la possibilità di prestare consensi differenziati in relazione alla finalità del trattamento. (Altalex, 26 marzo Nota di Marta Buffoni) profilazione occulta privacy profiling commerciale consenso espresso Marta Buffoni GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, PRESCRIZIONE E DIVIETO 16 DICEMBRE 2009 No alla profilazione occulta. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice"); VISTO l'accertamento effettuato, nell'ambito dell'attività ispettiva di iniziativa curata dall'ufficio del Garante, in data 23 settembre 2009 presso la sede legale di ASM Energia e Ambiente S.r.l. (di seguito, ASMEA) e il relativo verbale di operazioni compiute, volto a dare esecuzione alla richiesta di informazioni ex art. 157 del Codice, datata 23 giugno 2009; RILEVATO che, dagli elementi emersi nel corso del predetto accertamento ispettivo, risulta che ASMEA effettua la raccolta, la conservazione e l'elaborazione dei dati personali dei clienti in relazione a diverse finalità; RILEVATO che, dall'esame del modello di raccolta del consenso utilizzato dalla società e consegnato in copia in occasione della suddetta ispezione (allegato n. 5), viene richiesto il consenso rispetto ai trattamenti effettuati per adempiere alle obbligazioni contrattuali (punto n. 1);

3 VISTA la normativa in materia di protezione dei dati personali, la quale prevede che il titolare del trattamento potrebbe prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l'interessato (art. 24, comma 1, lett. b) del Codice); RILEVATO che sul richiamato modello viene poi richiesto un unico consenso in relazione ai dati che possono essere utilizzati: per inviare al cliente le informazioni commerciali delle società del Gruppo A2A (al quale appartiene la stessa ASMEA); per effettuare analisi delle abitudini e scelte di consumo, ricerche di mercato (realizzate anche con la collaborazione di terzi) attraverso lettere, telefono, e altri sistemi di comunicazione; per lo svolgimento di attività finalizzate all'elaborazione di studi e ricerche di mercato; per la realizzazione di attività dirette di vendita o di collocamento di prodotti/servizi e per l'invio di informazioni commerciali anche informatiche, nonché per l'invio di materiale pubblicitario/informativo, anche da parte degli stessi terzi (punto n. 2); VISTO l'art. 23, comma 3, del Codice, in forza del quale "il consenso è validamente prestato solo se è espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato"; RILEVATO che nel modello utilizzato da ASMEA la formula di consenso è viceversa generica, comprendendo trattamenti per finalità (effettuare analisi delle abitudini e scelte di consumo, inviare informazioni commerciali) per le quali il consenso deve essere specificamente acquisito per legge; CONSIDERATO che, come già rilevato da questa Autorità (cfr. Provv. 24 febbraio 2005, punto 7, doc. web n ; Provv. 12 ottobre 2005, doc. web n ; Provv 22 febbraio 2007, doc. web n ; Provv 5 marzo 2009, doc. web n , in gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare; RILEVATO che non risulta quindi conforme ai criteri di liceità e correttezza nel trattamento dei dati personali, nonché al principio di finalità la scelta di ASMEA di richiedere un unico consenso per finalità ulteriori e tra loro diverse, quali quelle di analisi delle abitudini e scelte di consumo e di invio di informazioni commerciali, di materiale pubblicitario informativo, anche da parte di terzi (art. 11, comma 1, lett. a) e b) e art. 23, comma 3, del Codice); RILEVATA pertanto la necessità che ASMEA modifichi la modellistica utilizzata per acquisire il consenso, fornendo ai clienti la possibilità di prestare consensi differenziati in relazione alle distinte finalità sopra indicate; RILEVATO che il trattamento di dati personali che non risulta effettuato in modo lecito da parte di ASMEA ha carattere sistematico;

4 CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali; considerato inoltre che il Garante, ai sensi dell'art. 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti; RILEVATA pertanto la necessità di adottare nei confronti di ASMEA un provvedimento di divieto del trattamento illecito di dati personali ai sensi dell'art. 154, comma 1, lett. d) del Codice correlato alla raccolta di dati personali della clientela in assenza di una chiara informativa e di richieste di consenso differenziato in relazione alle diverse finalità perseguite dalla società; TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro; CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati; VISTA la documentazione in atti; VISTE le osservazioni dell'ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il dott. Mauro Paissan; TUTTO CIÒ PREMESSO IL GARANTE: a) vieta a ASM Energia e Ambiente S.r.l., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l'ulteriore trattamento risultato illecito in atti, nonché di utilizzare le dichiarazioni di consenso al trattamento dei dati già rilasciate dagli interessati per finalità di analisi delle abitudini e scelte di consumo dei clienti e di comunicazione pubblicitaria o promozionale (art. 11, comma 2, del Codice), ferma restando l'utilizzabilità dei dati per finalità di fornitura dei servizi richiesti. Ciò, con effetto dalla data di notificazione del presente provvedimento presso la sede, residenza o domicilio risultanti dagli atti o comunque accertati dall'organo notificante; b) prescrive alla predetta società, ai sensi dell'art. 154, comma 1, lett. c) del Codice, di adottare entro il giorno 10 febbraio 2010 le misure necessarie indicate nel presente provvedimento al fine di rendere il trattamento di dati personali conforme alle disposizioni vigenti e, in particolare, di:

5 1. modificare il modello di raccolta del consenso, fornendo ai clienti la possibilità di prestare consensi differenziati in relazione alle distinte finalità sopra indicate; 2. trasmettere al Garante entro il medesimo termine del 10 febbraio 2010 un esemplare della modellistica utilizzata per il rilascio del consenso, riformulata in conformità alle indicazioni fornite con il presente provvedimento. Roma, 16 dicembre 2009 IL PRESIDENTE Pizzetti IL RELATORE Paissan IL SEGRETARIO GENERALE Patroni Griffi ( da )