Tag Archives: consenso

30 Giu 2018

Wind Tre dovrà rivedere le procedure, “ereditate” da H3G in seguito alla fusione aziendale, con le quali gestisce telefonate ed sms promozionali, al fine di interrompere i contatti commerciali indesiderati. Non potrà inoltre utilizzare, per finalità di marketing, i dati personali di quanti non abbiano espresso un libero e valido consenso per tale trattamento. Questa la decisione adottata dal Garante al termine delle ispezioni avviate muovendo dalle numerose segnalazioni di utenti che protestavano per il disturbo arrecato dalla rete commerciale della società [doc. web n. 8995285].

Gli accertamenti – avviati nel 2016 con la collaborazione della Guardia di finanza – hanno confermato la presenza di molteplici violazioni, tra cui la ricezione di contatti commerciali in tempi successivi rispetto all’esercizio del diritto di opposizione. A fronte delle lamentele degli utenti, la società spesso si giustificava facendo riferimento a non meglio precisati disguidi tecnici.

Sono emerse gravi carenze anche nella modalità con cui la compagnia telefonica ha costruito la governance, con riguardo ai profili di protezione dei dati, in particolare per quanto concerne la propria rete commerciale. H3G, pur essendo il titolare del trattamento dei dati delle persone contattate dai propri partner, aveva erroneamente qualificato larga parte dei punti vendita come titolari autonomi. La società non aveva predisposto delle liste di esclusione (le cosiddette “black list”) volte a prevenire che i propri partner inserissero nelle campagne promozionali numerazioni di chi si era già opposto al trattamento dei propri dati per finalità di marketing.

Alla luce delle irregolarità riscontrate, il Garante ha vietato a Wind Tre l’ulteriore trattamento dei dati personali per finalità di marketing in assenza di un valido, preventivo consenso espresso dagli utenti. Ha inoltre prescritto l’adozione di significative misure tecnico-organizzative che garantiscano il pieno rispetto della normativa privacy, in particolare dei principi di correttezza e di privacy by design. La compagnia telefonica dovrà quindi creare liste di esclusione che i partner commerciali dovranno consultare prima di procedere con qualunque contatto promozionale. Tali liste dovranno essere tempestivamente aggiornate e condivise su base giornaliera con i partner coinvolti nelle campagne marketing. Agli utenti che si sono opposti a telefonate ed sms promozionali dovrà essere comunicato un codice univoco di conferma che possa essere utilizzato in caso di lamentela. Dovranno comunque essere rimosse tutte le condotte che limitano o comportano un più oneroso esercizio dei diritti per gli interessati.

L’Autorità ha avviato autonomi procedimenti sanzionatori per contestare le violazioni amministrative già accertate.

(fonte Garante Privacy)

28 Feb 2018

Il Garante per la privacy ha vietato a una società e a un’associazione a essa collegata l‘invio senza consenso di e-mail promozionali a liberi professionisti, utilizzando i loro indirizzi di posta elettronica certificata [doc. web n. 7810723].

Dalle verifiche  – avviate dall’Autorità a seguito di numerose segnalazioni ed effettuate con l’ausilio del Nucleo Speciale Privacy della Guardia di Finanza – è emerso che alcuni collaboratori volontari dell’Associazione e una società terza avevano reperito on line massivamente gli indirizzi Pec di avvocati e, in minor parte, di commercialisti, revisori contabili, consulenti del lavoro e notai, con varie modalità manuali e automatizzate, in violazione dei fondamentali principi di finalità, liceità e correttezza del trattamento dei dati personali.

La società aveva poi spedito agli indirizzi di più di 800.000 professionisti diverse e-mail, contenenti la notizia della pubblicazione di un bando di selezione per “consulente reputazionale”, l’invito a partecipare ad un webinar e articoli relativi alla società mittente.

Oltre ad essere stati trattati senza consenso, gli indirizzi Pec erano stati reperiti in modo illecito dal registro Ini-Pec, l’Indice nazionale dei domicili digitali, dal sito www.registroimprese.it e dagli elenchi pubblicati da alcuni ordini provinciali. La norma stabilisce infatti che l’estrazione di elenchi di indirizzi di posta elettronica certificata contenuti nel registro delle imprese o negli albi o elenchi “è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza“. In un caso le e-mail risultavano inviate anche dopo che il destinatario si era già opposto formalmente al trattamento dei suoi dati personali, esercitando i diritti previsti dal Codice privacy.

A nulla sono valse le giustificazioni addotte dalla società e dall’associazione, le quali, tra l’altro, si ritenevano esentate dalla richiesta del consenso preventivo sulla base della presunta natura “istituzionale” delle comunicazioni. Le e-mail infatti, come ha chiarito il Garante, avevano carattere promozionale, in quanto favorivano le attività dell’associazione connesse alla figura di “consulente reputazionale” e dunque dovevano essere inviate nel rispetto delle regole previste dal Codice privacy e dalle Linee guida del Garante in materia di attività promozionale e contrasto allo spam. L’Autorità ha vietato, di conseguenza, alla società e all’associazione l’ulteriore illecito trattamento dei dati dei professionisti e ne ha prescritto la cancellazione, riservandosi di valutare eventuali profili sanzionatori.

(Fonte Garante Privacy)

Leggi anche:

30 Nov 2017

Se un indirizzo email è presente su un social network non significa che possa essere utilizzato liberamente per qualsiasi scopo. Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing [doc. web n. 7221917].

L’intervento del Garante ha preso l’avvio dalla segnalazione di una società di consulenza finanziaria che lamentava l’invio di numerose email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori senza che questi ne avessero autorizzato la ricezione.

Dagli accertamenti, svolti presso la società dall’Autorità in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social. La società solo negli ultimi due anni ha inviato circa 100.000 email pubblicitarie.

Il Garante, anche sulla base delle Linee guida del 4 luglio 2013  che hanno disciplinato peraltro proprio il fenomeno del “social spam“, ha quindi ritenuto illecito il trattamento degli indirizzi di posta elettronica.

I dati reperiti sui social network e, più in generale, presenti on line, non possono essere utilizzati liberamente ha spiegato il Garante. Non ha infatti alcun fondamento normativo  la tesi sostenuta dalla società secondo la quale l’iscrizione a un social network implica un consenso all’utilizzo dei dati personali per l’attività di marketing. Tale finalità  non è compatibile con le funzioni dei social network che sono preordinate alla condivisione di informazioni e allo sviluppo di contatti professionali, e non alla commercializzazione di prodotti e servizi. Opinione sostenuta anche dalle Autorità per la privacy europee, le quali hanno espressamente escluso che l’iscrizione a un servizio presente sul web  comporti la legittimità del trattamento dei dati personali da parte di altri partecipanti alla medesima piattaforma ai fini dell’invio di informazioni commerciali.

Oltre alla contestazione amministativa già effettuata dal Nucleo Speciale per il trattamento senza il necessario consenso, l’Autorità si è riservata di contestare alla società anche la violazione dell’obbligo di rilascio dell’informativa. Alla società è stato  prescritto infine di modificare il modello di richiesta di consenso presente sul sito, in modo che risulti chiara la finalità di marketing.

(Fonte Garante Privacy)

12 Ott 2017

Consenso deve essere libero, specifico e informato.

Gli utenti devono poter navigare liberamente su siti di e-commerce senza essere obbligati a rilasciare il consenso per usare i loro dati personali per finalità di marketing.

Questa la decisione del Garante della privacy [doc. web n. 6955363] presa in seguito alla segnalazione di alcuni utenti che si lamentavano per la ricezione di pubblicità indesiderata da parte di una società di shopping on line e per il mancato rispetto del diritto di opposizione al trattamento dei loro dati. Dai riscontri raccolti dall’Autorità, anche grazie all’attività ispettiva effettuata in collaborazione con il Nucleo Speciale Privacy della Guardia di finanza, è emerso che gli utenti che desideravano accedere alle sezioni del sito web gestito dalla società di e-commerce, ed eventualmente acquistare i prodotti in vetrina, erano prima obbligati a registrarsi e ad accettare (barrando un’apposita casella) i termini e le condizioni e la privacy policy del sito. Con l’adesione alla policy, con un unico click, l’utente acconsentiva che i propri dati venissero utilizzati non solo per le finalità connesse ai servizi offerti on line, ma anche per finalità di promozione commerciale, sia della società stessa sia dei suoi partner commerciali.

…per acquistare i prodotti reclamizzati dallo stesso, occorreva «necessariamente “flaggare” la casella posta in corrispondenza della voce “Accetto i Termini e Condizioni e la Privacy Policy”»; policy che, con riguardo alle finalità del trattamento dei dati raccolti, faceva espresso riferimento, oltre che alle «finalità direttamente connesse e strumentali all’attivazione e al funzionamento dei servizi offerti» dalla Società, anche alle finalità promozionali della medesima

Una mole ingente di indirizzi e-mail e altri dati raccolti in questo modo venivano dunque registrati in una banca dati per l’invio di pubblicità non richiesta.

Nel provvedimento, il Garante ha ricordato che il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell’invio di comunicazioni promozionali. Non si può quindi obbligare una persona a ricevere pubblicità solo per avere accesso alla “vetrina online” di un sito.

I dati richiesti dalla società in fase di registrazione, tra l’altro, spesso non erano necessari per la navigazione nel sito e neppure per l’acquisto dei prodotti reclamizzati, in violazione dei principi di minimizzazione e di necessità previsti dal Codice della privacy.

Il trattamento dell’informazione relativa all’indirizzo di posta elettronica non può ritenersi necessario per consentire la “navigazione” nel sito web e la conseguente visualizzazione delle proposte commerciali ivi contenute.

Né viene meno l’illiceità del trattamento per il solo fatto che nelle mail promozionali inviate sia presente un link per la cancellazione dalla newsletter, atteso che il consenso richiesto deve essere legittimamente acquisito anteriormente all’invio delle comunicazioni promozionali 

Il Garante ha quindi vietato alla società di utilizzare per attività di marketing i dati personali raccolti.

Il Nucleo Speciale Privacy ha già attivato un autonomo procedimento sanzionatorio relativo alla violazione accertata.

(fonte Garante Privacy)

Potrebbe interessare:

Telemarketing. Numeri pescati in rete senza consenso dei destinatari per essere contattati

Invio di Sms commerciali: consenso senza consenso

Consenso specifico e non obbligato per attività di marketing

26 Lug 2017

Il Garante privacy ha vietato [doc. web n. 6629169] a due società che operano nel settore sanitario odontoiatrico l’ulteriore trattamento a fini di telemarketing di circa un milione di utenze telefoniche fisse e mobili utilizzate senza rispettare la disciplina in materia di privacy.

Le irregolarità sono emerse nel corso delle verifiche effettuate dal Garante presso le società a seguito della segnalazione di alcune persone che avevano ricevuto telefonate indesiderate sul proprio cellulare con le quali si promuovevano visite odontoiatriche gratuite.

Dagli accertamenti è risultato che le società hanno trattato in modo illecito sia i dati acquistati da un fornitore di liste stabilito al di fuori del territorio nazionale, riferiti a circa un milione di utenti, sia quelli tratti da elenchi telefonici pubblici.

l’attività promozionale è stata svolta da Idea Sorriso sia attraverso i dati personali acquisiti mediante il sito web della Società (punti 4.1 ss.), sia (in particolare in relazione ai fatti oggetto di segnalazione) mediante attività di telemarketing (punti 5.1 ss.).

Le società, infatti,  non sono state in grado di dimostrare l’acquisizione del consenso degli interessati, nel corso delle verifiche entrambi i box destinati a accogliere la manifestazione del consenso da parte degli utenti sono risultati preselezionati.

Rispetto a tale campagna di telemarketing non è stata fornita alcuna prova dell’attività di verifica dell’eventuale iscrizione delle numerazioni così ricavate nel Registro pubblico delle opposizioni secondo le modalità indicate dall’art. 5, d.P.R. 7 settembre 2010, n. 178 (come previsto dall’art. 130, comma 3-bis, del Codice).

Il Garante, inoltre, ha ritenuto incompleta e poco chiara l’informativa fornita agli utenti che si prenotavano on line e insufficiente il riscontro dato ad un segnalante che chiedeva di conoscere la  provenienza dei suoi dati e al quale sono state fornite informazioni vaghe e non veritiere.

L’Autorità ha quindi vietato alle società l’uso dei numeri di telefono a fini di marketing e ha prescritto loro l’adozione di misure tecniche e organizzative per assicurare agli utenti la piena e tempestiva attuazione dei diritti riconosciuti dal Codice privacy (conoscere l’origine dei dati, le modalità e le finalità del trattamento, aggiornare, rettificare, cancellare i dati).

Le società dovranno adottare idonee misure tecnologiche per consentire agli utenti del sito di manifestare liberamente il proprio consenso e dovranno riformulare il modello di informativa, indicando chiaramente l’ambito di circolazione dei dati e il soggetto cui indirizzare le istanze per l’esercizio dei diritti.

Viene prescritto di riformulazione del modello di informativa presente sul sito web www.ideasorriso.it, con la chiara indicazione dell’ambito di circolazione dei dati nonché del rapporto di co-titolarità dei trattamenti e del soggetto cui indirizzare le istanze volte ad esercitare i diritti di cui all’art. 7 del Codice.

Con autonomo procedimento il Garante si è riservato di contestare sanzioni amministrative per gli illeciti rilevati.

17 Mag 2017

Un emendamento contenuto nel testo del Ddl concorrenza, approvato al Senato, elimina il requisito del consenso preventivo per le chiamate promozionali, “liberalizzando” il fenomeno del telemarketing selvaggio e prevedendo come unica forma di tutela dell’utente la possibilità di rifiutare le sole chiamate successive alla prima.

L’articolo 44 approvato al Senato, che andrà a modificare l’articolo 130 del Codice in materia di protezione dei dati personali, recita: «Gli operatori e i soggetti terzi che stabiliscono, con chiamate vocali effettuate con addetti, un contatto anche non sollecitato con l’abbonato a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, hanno l’obbligo di comunicare all’esordio della conversazione i seguenti dati: 1) gli elementi di identificazione univoca del soggetto per conto del quale chiamano; 2) l’indicazione dello scopo commerciale o promozionale del contatto». Ma poi si aggiunge: «Il contatto è consentito solo se l’abbonato destinatario della chiamata, presta un esplicito consenso al proseguimento della conversazione». In sostanza, come già succede oggi, il consumatore ha solo la «libertà» di dire all’operatore che non è interessato e chiudere la conversazione, prima che l’operatore insista ulteriormente.

Antonello Soro, Garante della Privacy, dichiara che la norma contenuta nel testo del DDL Concorrenza Suscita sconcerto e preoccupazione”.  Essa elimina il requisito del consenso preventivo per le chiamate promozionali, “liberalizzando” il fenomeno del telemarketing selvaggio e prevedendo come unica forma di  tutela dell’utente la possibilità di rifiutare le sole chiamate successive alla prima.

Si tratta di una soluzione diametralmente opposta a quella – fondata sul previo consenso all’interessato – ampiamente discussa nella Commissione di merito dello stesso Senato, indicata dal Garante e, in  apparenza, largamente condivisa.

La norma peraltro risulta incoerente con la linea di maggiore tutela seguita dalla stessa Commissione nell’ambito dell’esame del Ddl sul Registro delle opposizioni.

Il testo è stato approvato dal Senato e deve tornare alla Camera per la terza

 

 

 

16 Mar 2017

Money transfer: Garante privacy, 11 mln di multa a cinque società per uso illecito di dati

Il Garante Privacy ha multato 5 società che operano nel settore del money transfer, per oltre 11 milioni di euro. Le società hanno usato in modo illecito i dati personali di più di  mille persone inconsapevoli [doc. web nn. 6009674, 6010438, 6009876, 6010258 e 6009746].

Le gravi violazioni sono emerse nel corso di un’indagine della Procura di Roma. Il Nucleo di polizia valutaria della Guardia di finanza su delega della magistratura ha infatti accertato che una multinazionale, in concorso con altre quattro società, raccoglieva e trasferiva in Cina somme di denaro riconducibili a imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche di quella sulla protezione dei dati personali. La violazione della normativa sulla privacy ha determinando l’intervento del Garante.

Per assecondare il desiderio della clientela di impedire l’associazione tra le rimesse finanziarie e i reali mittenti le società operavano attraverso la tecnica del frazionamento (dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio) e attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati.

Il trattamento dei dati avveniva senza consenso. I nominativi ai quali erano intestati i trasferimenti non erano mai i reali mittenti e, in alcuni casi, i moduli risultavano compilati da persone decedute o inesistenti, oppure non firmati. Gli invii di denaro, poi, venivano effettuati a pochi secondi l’uno dall’altro, per importi appena sotto soglia e indirizzati allo stesso destinatario. I nominativi cui erano attribuiti i trasferimenti, inoltre, erano tratti da fotocopie di documenti di identità, conservati in appostiti raccoglitori, e da utilizzare all’occorrenza.

Alla luce dei risultati dell’indagine, il Garante, tenuto conto della gravità delle violazioni commesse dalle società, del numero delle persone coinvolte i cui dati sono stati trattati senza consenso e della rilevanza della banca dati, ha inflitto le seguenti sanzioni: 5.880.000 euro alla multinazionale, 1.590.000, 1.430.000, 1.260.00 e 850.000 euro rispettivamente ad ognuna delle altre quattro società,  per un importo complessivo di oltre 11 milioni di euro.

Le società hanno 30 giorni di tempo dalla notificazione dei provvedimenti per il pagamento delle sanzioni.

(Fonte Garante Privacy)

2 Dic 2016

«Gentile cliente, grazie per averci scelto! La informiamo che ad oggi non ci risulta il suo consenso ai contatti commerciali e promozionali di Wind. Se desidera entrare nel mondo delle ESCLUSIVE promozioni di Wind, rilasci il suo consenso ai contatti commerciali chiamando gratuitamente il 158 entro il 31 agosto 2016! Per info privacy visiti il sito wind.it».

Attraverso la campagna “Raccolta consensi senza consenso” Wind invia a cinque milioni di numerazioni tra il 2015 e l’agosto 2016, un messaggio ad utenti, presenti nel proprio data base e nuova acquisizione, che non risultano avere manifestato il proprio consenso rispetto all’utilizzo dei dati personali a sé riferiti per finalità di marketing e, segnatamente, all’invio di comunicazioni elettroniche mediante sms. La società telefonica li ha spediti proprio per ottenere il consenso all’invio, in futuro, di proposte tariffarie o commerciali.

Circostanza che risulta anzitutto confermata, al di là dell’eloquente dizione utilizzata nell’intestazione degli script, come detto denominati «Raccolta consensi su CB senza consenso» e «Raccolta consensi su GA senza consenso», dal tenore letterale che ne contraddistingue il contenuto, oggetto di predisposizione ed invio da parte della Società: da essi risulta inequivocabilmente la volontà di acquisire il consenso degli interessati allo svolgimento di attività promozionali mediante l’invio di sms, consenso del quale la società non disponeva, ed invece necessario ai sensi dell’art. 130, commi 1 e 2, del Codice.

La Wind organizza 9 campagne denominate “Raccolta consensi su GA senza consenso” [dove per GA si intende Gross Adds – nuove acquisizioni] che hanno coinvolto nell’anno 2015 1.300.000 utenze mobili circa con la conseguente acquisizione di 21.000 consensi circa; nr. 6 campagne denominate “Raccolta consensi su GA senza consenso” […] che hanno coinvolto nell’anno 2016 (fino al mese di agosto) 730.000 circa utenze mobili con la conseguente acquisizione di 19.000 consensi circa; nr. 3 campagne denominate “Raccolta consensi su CB senza consenso” [dove per CB si intende “customer base”] che hanno coinvolto, nei mesi di giugno, luglio ed agosto del 2016, complessivamente 3.000.000 circa di utenze mobili con l’acquisizione di 44.000 consensi circa».

Pertanto il Garante:

– vieta l’ulteriore trattamento a Wind di inviare agli utenti messaggi se ha negato il via libera e quando non lo ha concesso;
– prescrive che venga registrata l’opposizione degli interessati al trattamento dei propri dati personali prevista dall’art. 7 del Codice, entro il termine di 15 giorni dall’esercizio dei diritti

Wind Telecomunicazioni s.p.a., entro 60 giorni dal ricevimento del presente provvedimento, è invitata a comunicare all’Autorità quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento, con l’avvertenza che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all’art. 164 del Codice.

(Garante Privacy)

21 Nov 2016

Torniamo a parlare del consenso nell’attività di marketing. Nonostante il Garante Privacy si sia più volte espresso in materia e abbia emanato delle “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, in alcuni siti per procedere agli acquisti, il consenso è unico e generico.

Il caso specifico si muove a seguito di alcune segnalazioni ricevute dall’Autorità che ha avviato degli accertamenti, da cui è emerso che una società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nell’informativa (resa nell’ambito di un documento denominato “Trattamento dei dati personali”) si avvisavano gli interessati che «i dati […] potranno essere utilizzati da xx […] per la stipulazione e la gestione del contratto di erogazione dei Servizi indicati al punto 1 delle condizioni generali di contratto e per tutte le conseguenti operazioni di Suo interesse» (afferenti alla sfera contrattuale), nonché «al fine di inviarLe periodicamente messaggi contenenti pubblicità, materiale pubblicitario, annunci interni, iniziative promozionali, comunicazioni commerciali».

A fronte delle diverse finalità così identificate, non veniva però richiesto nel sito web uno specifico consenso per il trattamento dei dati raccolti per finalità promozionali; era invece possibile manifestare un unico consenso onnicomprensivo (“accetto”/”non accetto”) in relazione ai diversi trattamenti descritti nell’informativa.

Pertanto, i clienti non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali, per poter usufruire dei servizi on line. Il consenso deve essere manifestato liberamente e non deve essere condizionato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’azienda xxx, non risulta inoltre aver adempiuto all’obbligo di informativa di cui all’art. 13, comma 4, del Codice, in base al quale «se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione».

La tesi sulla mancanza di informativa dell’azienda non è conforme alla legge: non sarebbe stato possibile rendere l’informativa in forma individuale agli interessati perché «ne sarebbe disceso un impiego di mezzi manifestamente sproporzionato ‒ anche per costi e oneri ‒ rispetto al diritto tutelato», si è autonomamente determinata a procedere alla pubblicazione sul proprio sito web di una pagina dedicata ai “clienti ex xxx”.

Tale modalità, se del caso, avrebbe eventualmente dovuto essere stabilita dal Garante, come previsto dall’art. 13, comma 5, lett. c), del Codice, previamente adito, quale misura appropriata, ad esito di un’apposita valutazione sull’impossibilità (o eccessiva onerosità) in concreto dell’adempimento dell’obbligo informativo in forma individuale.

L’Autorità ha quindi vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso. Ha invece prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati.

Il Garante si è riservato di verificare, con autonomi procedimenti, la sussistenza dei presupposti per contestare le sanzioni amministrative per le violazioni commesse.

(Fonte Garante Privacy)

7 Nov 2016

Le e-mail inviate nell’ambito di una mailing list devono considerarsi corrispondenza epistolare privata: solo i relativi iscritti, esattamente individuati, possono accedere alla lista, dovendo escludersi tale possibilità per chiunque altro. Sussiste, pertanto, la personalità della comunicazione che non si identifica con l’unicità, ma consiste nella predeterminazione dei destinatari cui il mittente intende inviare il proprio messaggio di posta elettronica.

A tale principio si è ispirata la Corte d’Appello di Milano nel decidere in merito all’utilizzabilità, in un ricorso di accertamento della legittimità del licenziamento per giusta causa, di taluni messaggi di posta elettronica estrapolati da un una mailing list.

In particolare, nella lettera di contestazione veniva rimproverato al lavoratore di aver istigato tramite alcune e – mail, i colleghi ad assumere comportamenti in contrasto con gli obblighi derivanti dal rapporto di lavoro e di avere arrecato turbative al regolare espletamento dell’attività di volo nonché di avere assunto comportamenti minacciosi nei confronti dei colleghi di lavoro.Il lavoratore avrebbe istigato “i colleghi ad assumere comportamenti in contrasto con gli obblighi derivanti dal rapporto di lavoro e di avere arrecato turbative al regolare espletamento dell’attività di volo nonché di avere assunto comportamenti minacciosi nei confronti dei colleghi di lavoro”.

Di contro, il dipendente ha contestato la legittimità del licenziamento in parola, assumendo la lesione del diritto inviolabile alla libertà e alla segretezza della corrispondenza e di ogni altra forma di comunicazione, costituzionalmente garantito ai sensi dell’art. 15.
Parte ricorrente, nel proprio atto di appello, ha sottolineato la non sussistenza della violazione dell’altrui corrispondenza e della riservatezza delle e-mail, essendo stato un soggetto appartenente alla mailing list in questione –  un altro pilota, dipendente di parte appellante e collega di parte appellata – a divulgarne il contenuto affinché il datore di lavoro tutelasse la sua “integralità fisica e morale”, ai sensi dell’art. 2087 del c.c., ed intervenisse dinanzi a un serio rischio di mobbing.
In tal senso, ad avviso della Società appellante, è conforme al quadro normativo di riferimento il pieno diritto del destinatario di valicare la riservatezza del messaggio a favore del preminente diritto alla tutela della sua persona.
Nell’operare il bilanciamento tra gli interessi contrapposti, da un lato il diritto alla segretezza della corrispondenza privata e dall’altro l’obbligo del datore di lavoro di tutelare la persona del lavoratore, il giudice dell’impugnazione ha richiamato la giurisprudenza della Corte Costituzionale (cfr. sentenza 15 novembre 1988, n. 1030, sentenza n. 81 del 1993), secondo cui “il riconoscimento e la garanzia costituzionale della libertà e della segretezza della comunicazione comportano l’assicurazione che il soggetto titolare del corrispondente diritto possa liberamente scegliere il mezzo di corrispondenza, anche in rapporto ai diversi requisiti di riservatezza che questo assicura sia sotto il profilo tecnico, sia sotto quello giuridico, di modo che “laddove si riconosce al soggetto il diritto di esercitare la libertà di comunicazione utilizzando a suo piacimento strumenti che assicurano diversi livelli di segretezza (anche nessuno), … si ammette che la segretezza sia rinunciabile senza che tale rinuncia pregiudichi automaticamente l’applicazione dell’art. 15”.
Alla stregua di quanto affermato dalla Consulta, la Corte d’Appello di Milano ha rievocato un “attuale e coerente” parere del Garante Privacy del 12 luglio 1999, in base al quale “a) i messaggi che circolano via Internet, nelle liste di posta elettronica…, devono essere considerati come corrispondenza privata e in quanto tali non possono essere violati; … c) analogamente a quanto avviene per la normale corrispondenza, non può essere considerata contrastante con la normativa sui dati personali l’eventuale successiva presa di conoscenza della e-mail da parte di soggetti estranei al circuito di posta elettronica, quando il messaggio non sia stato indebitamente acquisito da questi ultimi ma ad essi comunicato da parte di uno dei destinatari del messaggio stesso”. Per l’appunto – sottolinea la Corte – nella vicenda de qua “la diffusione è avvenuta per volontà di uno dei destinatari dei messaggi in questione, al fine di provocare l’intervento del datore di lavoro a propria tutela”.
Pertanto, in virtù del summenzionato bilanciamento, non sono utilizzabili quei messaggi di posta elettronica, nell’ambito della mailing list, con riferimenti al nominativo di quei destinatari che non intendono comunicarne il contenuto a soggetti esterni.

(Fonte PrivacyLaw Consulting)