Tag Archives: consenso

1 Mag 2019

Sanzione di 16 mila euro al medico che ha utilizzato circa 3.500 indirizzi di ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo. L’Autorità Garante Privacy aveva avviato un’istruttoria a seguito di alcuni articoli di stampa che segnalavano la vicenda. Il medico si è difeso affermando di aver scritto ai suoi ex pazienti, che aveva avuto in cura presso un importante Istituto oncologico, per informarli della sua nuova sede di lavoro, avendo cessato il suo rapporto professionale presso l’Istituto. Con l’occasione, aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, già assessore alla Sanità e al Welfare, e aveva ritenuto di rispettare le norme consentendo ai destinatari di opporsi alla ricezione dei messaggi, mediante un link posto in calce alla mail.

Il Garante ha giudicato un tale trattamento di dati personali illecito per diversi profili.

In primo luogo, il medico non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex pazienti per finalità diverse da quelle di cura, per le quali erano stati raccolti, senza aver acquisito uno specifico e autonomo consenso.

…… Nel caso di specie, risulta accertato che la parte ha acquisito xxx la mailing list contenente i nominativi e gli indirizzi e-mail dei propri pazienti, al momento della cessazione del proprio rapporto di lavoro; tuttavia, non risulta provato né documentato in atti che sia stata resa l’informativa agli interessati, al momento dell’acquisizione da parte del dott. XX dei suddetti dati, così come previsto dall’art. 13, comma 4, del Codice. Per quanto riguarda, invece, la violazione di cui all’art. 162, comma 2-bis, del Codice, si rappresenta che la condotta illecita contestata alla parte si riferisce all’utilizzo dei dati personali per finalità differenti da quelli di cura (che avevano giustificato l’originario trattamento), senza che gli interessati avessero espresso il proprio specifico e autonomo consenso. Infatti, la missiva oggetto dell’istruttoria, non si limitava a rendere noto ai pazienti gli spostamenti del professionista, ma indicava chiaramente il sostegno a un candidato nell’ambito delle consultazioni elettorali che si sarebbero svolte di lì a poco in Lombardia. Aspetto senz’altro censurabile sotto il profilo della protezione dei dati personali, posto che si tratta di una finalità perseguita dal dott. XX senza che gli interessati avessero espresso alcuna manifestazione di consenso al riguardo; ….

Come chiarito dal Garante nel Provvedimento generale in materia di propaganda elettorale del 6 marzo 2014, “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti“.

Nonostante la sanzione sia stata comminata in base al vecchio Codice, i principi che la ispirano restano validi anche in base al nuovo Regolamento Ue, come di recente precisato nel provvedimento dell’Autorità del 7 marzo 2019.

(Fonte Garante Privacy)

Potrebbe interessarti: Provvedimento in materia di propaganda elettorale e comunicazione politica – 18 aprile 2019
(In corso di pubblicazione sulla Gazzetta Ufficiale)
28 Apr 2019

Il Garante Privacy ha approvato un provvedimento sull’uso corretto dei dati degli elettori in vista delle elezioni europee del 26 maggio. Il rispetto delle norme in materia di protezione dei dati è essenziale “per mantenere la fiducia dei cittadini e garantire il regolare svolgimento in tutte le fasi delle consultazioni elettorali”.

Nel provvedimento, in corso di pubblicazione sulla G.U., l’Autorità si sofferma, in particolare, sull’uso di messaggi politici e propagandistici inviati agli utenti dei social network (come Facebook e Linkedin) o su altre piattaforme di messaggistica (come Skype, Whatsapp, Messenger), ribadendo che tale uso deve rispettare le norme in materia di protezione dei dati  Come dimostrato da casi recenti di profilazione massiva degli elettori, è fondamentale proteggere il processo elettorale ed evitare rischi di interferenze e turbative esterne.

Queste, in sintesi, le indicazioni del Garante.

  1. Dati utilizzabili senza consenso

Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza consenso i dati contenuti nelle liste elettorali detenute dai Comuni. Possono essere usati anche altri elenchi e registri pubblici in materia di elettorato passivo e attivo (es. elenco dei cittadini residenti all’estero aventi diritto al voto o degli elettori italiani che votano all’estero per le elezioni del Parlamento europeo) e altre fonti documentali, detenute da soggetti pubblici, accessibili da chiunque. Si possono utilizzare senza previo consenso anche i dati degli aderenti a partiti o movimenti politici o di soggetti che hanno con essi contatti regolari.

  1. Dati utilizzabili solo con il previo consenso

E’ necessario il consenso informato invece per poter utilizzare recapiti telefonici contenuti negli elenchi telefonici e quindi per effettuare chiamate o inviare sms e mail.

Attenzione ai dati reperiti sul web.

Sebbene risulti agevole la reperibilità di dati personali in Internet (quali recapiti telefonici o indirizzi di posta elettronica) questo non comporta la libera disponibilità degli stessi né autorizza il trattamento di tali dati per qualsiasi finalità, ma soltanto per gli scopi sottesi alla loro pubblicazione. Sarà necessario il consenso per poter trattare i dati reperibili sul web, in particolare, ad esempio:

  • dati raccolti automaticamente in Internet tramite appositi software (v. c.d. web or data scraping);
  • liste di abbonati ad un provider;
  • dati pubblicati su siti web per specifiche finalità di informazione aziendale, comunicazione commerciale o attività associativa;
  • dati consultabili in Internet solo per le finalità di applicazione della disciplina sulla registrazione dei nomi a dominio;
  • dati pubblicati dagli interessati sui social network.

Inoltre, i messaggi politici e propagandistici inviati agli utenti di social network (come Facebook o Linkedin), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina in materia di protezione dei dati (artt. 5, 6, 7, 13, 24, 25 del Regolamento). La medesima disciplina è altresì applicabile ai messaggi inviati utilizzando altre piattaforme, come Skype, WhatsApp, Viber, Messanger.

Necessario il consenso anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria.

Serve il consenso anche per l’utilizzo dei dati di persone contattate in occasione di singole specifiche iniziative (es. petizioni, proposte di legge, referendum, raccolte di firme) e di quelli di sovventori occasionali.

Chi intende utilizzare, acquisendole da terzi, liste cosiddette “consensate” (dati raccolti previa informativa e consenso), è tenuto a verificare che siano stati effettivamente rispettati gli adempimenti di legge. Lo stesso vale per i servizi di propaganda elettorale curata da terzi a favore di movimenti, partiti, candidati.

  1. Dati non utilizzabili

Non sono in alcun modo utilizzabili i dati raccolti o usati per lo svolgimento di attività istituzionali come l’anagrafe della popolazione residente; gli archivi dello stato civile; le liste elettorali di sezione già utilizzate nei seggi; gli elenchi di iscritti ad albi e collegi professionali; gli indirizzi di posta elettronica tratti dall’Indice nazionale dei domicili digitali.

Non sono utilizzabili i dati resi pubblici sulla base di atti normativi per finalità di pubblicità o di trasparenza come, ad esempio quelli presenti nei documenti pubblicati nell’albo pretorio on line; quelli relativi agli esiti di concorsi; quelli riportati negli organigrammi degli uffici pubblici contenenti recapiti telefonici ed indirizzi mail.

Non si possono infine utilizzare dati raccolti da titolari di cariche elettive e di altri incarichi pubblici nell’esercizio del loro mandato elettivo o dell’attività istituzionale.

  1. Informativa a cittadini

Gli elettori devono essere sempre informati sull’uso che verrà fatto dei loro dati personali. Se i dati sono ottenuti direttamente presso gli interessati, l’informativa va data all’atto della raccolta. Per i dati acquisiti da altre fonti è necessario che gli interessati siano informati in un tempo ragionevole al massimo entro un mese. Qualora tale adempimento sia però impossibile o comporti uno sforzo sproporzionato, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono esimersi dall’informativa, a condizione che adottino misure adeguate per tutelare i diritti e le libertà dei cittadini, utilizzando, per esempio, modalità pubbliche di informazione.

  1. Sanzioni

Il Garante ricorda che la violazione della disciplina sui dati comporta sanzioni che possono essere anche molto onerose, come previsto dal Gdpr, fino a 20 milioni di euro.

Inoltre, in ragione delle recenti modifiche introdotte dal legislatore europeo al Regolamento Ue 1141/2014 sullo statuto e il finanziamento di partiti e fondazioni politiche europee, l’Autorità europea per i partiti politici e le fondazioni politiche europee – se viene a conoscenza di una decisione di un’Autorità nazionale di protezione dati da cui sia possibile evincere che la violazione delle norme sia connessa ad attività volte ad influenzare o a tentare di influenzare l’esito delle elezioni europeeè tenuta ad avviare una procedura di verifica, all’esito della quale potranno essere applicate sanzioni pecuniarie che potrebbero ammontare, nei casi più gravi, al 5% del bilancio annuale del partito o della fondazione.

(fonte Garante Privacy)

 

18 Mar 2019

Il Garante con Provvedimento del n. 55 del 7 marzo 2019, chiarisce le modalità di applicazione del Regolamento UE 2016/679 nella sanità.

I chiarimenti si sono resi necessari a seguito dei numerosi quesiti ricevuti dall’autorità sul trattamento dei dati, relativi alla salute in ambito sanitario.

Una delle domande ricorrenti riguarda il consenso.Quando deve essere richiesto

L’art. 9 par. 2 lett. h) del Regolamento prevede:

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità

e ancora al par. 3

I dati personali ….. possono essere trattati … “se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

Sulla base di quanto previsto dall’art. 9, il medico non dovrà, come in passato richiedere il consenso al paziente. Vediamo nello specifico.

Il professionista sanitario soggetto al segreto professionale, non deve più richiedere il consenso del paziente per trattamenti necessari alla prestazione sanitaria richiesta dall’interessato. Ciò, sia che operi in qualità di libero professionista (presso uno studio medico) sia presso una struttura pubblica o privata. Tale eccezione si applica per i trattamenti necessari per le finalità di cura, cioè essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (considerando 53 del Regolamento).

I trattamenti, non strettamente necessari alla cura, richiedono, invece, il consenso dell’interessato o un altro presupposto di liceità (artt. 6 e 9, par. 2 Regolamento). Tra questi trattamenti rientrano le app mediche, i dati delle farmacie per le tessere fedeltà; campagne promozionali o commerciali (es. promozioni su programmi di screening; contratto di servizi amministrativi, come quelli alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali.

Richiede il consenso, anche, la refertazione on line, in quanto previsto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013).

L’autorità chiarisce, anche i trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico, che possono essere effettuati con l’acquisizione del consenso. Il Garante ricorda che il consenso è richiesto da norme specifiche anteriori al Regolamento UE, fatte salve dall’art. 75 del Codice Privacy. L’eliminazione del consenso potrebbe essere ammissibile alla luce del nuovo quadro normativo, vedremo quindi cosa succederà.

Rimane confermato il consenso per i trattamenti effettuati tramite il Dossier Sanitario, sempre in applicazione delle Linee Guida del 04 giugno 2015. Sulla base dell’art. 2 septies del Codice, sarà il Garante, eventualmente, ad individuare i trattamenti che non necessitano di consenso. Anche qui, speriamo in ulteriori interventi.

Informativa sul trattamento.

Le informative, dovranno essere aggiornate ed integrate, con riferimento alle novità degli artt. 13 e 14 del Regolamento. Secondo il principio di trasparenza, previsto dall’art. 5 par. 1 lett. a) del Regolamento, il Titolare deve informare l’interessato sui principali elementi del trattamento. Che sono appunto elencati nell’art. 13 e nell’art. 14. Informativa che deve essere soprattutto comprensibile per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice.

L’autorità suggerisce di predisporre delle informative in maniera progressiva. Le informazioni relative a particolari attività di trattamento (es. fornitura di presidi sanitari, finalità di ricerca) potrebbero essere resi, in un secondo momento, solo ai pazienti interessati da tali servizi.

Per quanto attiene invece alla conservazione dei dati (“limitazione della conservazione” art. 5 par. 1 lett. e) del Regolamento), il titolare può indicare in assenza di una disposizione normativa che stabilisce i termini, i criteri utilizzati per determinarlo. Ricordiamo ad esempio, il certificato di idoneità sportiva agonistica, deve essere conservato per cinque anni. Le cartelle cliniche, unitamente ai referti, vanno conservati illimitatamente.

Responsabile della Protezione dei Dati (RPD/DPO)

Il Garante chiarisce ulteriormente, chi deve nominare il Responsabile della Protezione dei dati, dopo le numerose richieste di chiarimenti da parte degli operatori del settore sanitario.

Le aziende sanitarie, devono nominare il RPD, in quanto “organismo pubblico”, come da art. 37, par. 1 lett c), attività che consistono sul trattamento, su larga scala, di dati sulla salute.

Lo stesso vale per un ospedale privato, per una casa di cura o una residenza socio assistenziale (RSA).

Il singolo professionista sanitario, che opera in regime di libera professione, non è tenuto a nominare un RPD. Come non sono tenute le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (in questo caso l’obbligo scatta in caso di effettuazione di trattamenti su larga scala).

Registro delle attività di trattamento

Il registro delle attività di trattamento costituisce uno strumento di accountability e di valutazione e gestione del rischio. Il registro contiene le principali informazioni (come individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte dal titolare. Pertanto, i singoli professionisti non sono esentati e dovranno compilare il registro. Tra questi: i medici di medicina generale, i medici pediatri, gli ospedali privati, le case di cura e le RSA, le aziende sanitarie appartenenti al SSN, le farmacie e le parafarmacie, le aziende ortopediche. Il registro andrà conservato per eventuali controlli e non va trasmesso al Garante.

(Fonte Garante Privacy)

30 Giu 2018

La società xx dovrà rivedere le procedure, “ereditate” da da un’altra società in seguito alla fusione aziendale, con le quali gestisce telefonate ed sms promozionali, al fine di interrompere i contatti commerciali indesiderati. Non potrà inoltre utilizzare, per finalità di marketing, i dati personali di quanti non abbiano espresso un libero e valido consenso per tale trattamento. Questa la decisione adottata dal Garante al termine delle ispezioni avviate muovendo dalle numerose segnalazioni di utenti che protestavano per il disturbo arrecato dalla rete commerciale della società [doc. web n. 8995285].

Gli accertamenti – avviati nel 2016 con la collaborazione della Guardia di finanza – hanno confermato la presenza di molteplici violazioni, tra cui la ricezione di contatti commerciali in tempi successivi rispetto all’esercizio del diritto di opposizione. A fronte delle lamentele degli utenti, la società spesso si giustificava facendo riferimento a non meglio precisati disguidi tecnici.

(fonte Garante Privacy)

28 Feb 2018

Il Garante per la privacy ha vietato a una società e a un’associazione a essa collegata l‘invio senza consenso di e-mail promozionali a liberi professionisti, utilizzando i loro indirizzi di posta elettronica certificata [doc. web n. 7810723].

Dalle verifiche  – avviate dall’Autorità a seguito di numerose segnalazioni ed effettuate con l’ausilio del Nucleo Speciale Privacy della Guardia di Finanza – è emerso che alcuni collaboratori volontari dell’Associazione e una società terza avevano reperito on line massivamente gli indirizzi Pec di avvocati e, in minor parte, di commercialisti, revisori contabili, consulenti del lavoro e notai, con varie modalità manuali e automatizzate, in violazione dei fondamentali principi di finalità, liceità e correttezza del trattamento dei dati personali.

La società aveva poi spedito agli indirizzi di più di 800.000 professionisti diverse e-mail, contenenti la notizia della pubblicazione di un bando di selezione per “consulente reputazionale”, l’invito a partecipare ad un webinar e articoli relativi alla società mittente.

Oltre ad essere stati trattati senza consenso, gli indirizzi Pec erano stati reperiti in modo illecito dal registro Ini-Pec, l’Indice nazionale dei domicili digitali, dal sito www.registroimprese.it e dagli elenchi pubblicati da alcuni ordini provinciali. La norma stabilisce infatti che l’estrazione di elenchi di indirizzi di posta elettronica certificata contenuti nel registro delle imprese o negli albi o elenchi “è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza“. In un caso le e-mail risultavano inviate anche dopo che il destinatario si era già opposto formalmente al trattamento dei suoi dati personali, esercitando i diritti previsti dal Codice privacy.

A nulla sono valse le giustificazioni addotte dalla società e dall’associazione, le quali, tra l’altro, si ritenevano esentate dalla richiesta del consenso preventivo sulla base della presunta natura “istituzionale” delle comunicazioni. Le e-mail infatti, come ha chiarito il Garante, avevano carattere promozionale, in quanto favorivano le attività dell’associazione connesse alla figura di “consulente reputazionale” e dunque dovevano essere inviate nel rispetto delle regole previste dal Codice privacy e dalle Linee guida del Garante in materia di attività promozionale e contrasto allo spam. L’Autorità ha vietato, di conseguenza, alla società e all’associazione l’ulteriore illecito trattamento dei dati dei professionisti e ne ha prescritto la cancellazione, riservandosi di valutare eventuali profili sanzionatori.

(Fonte Garante Privacy)

Leggi anche:

30 Nov 2017

Se un indirizzo email è presente su un social network non significa che possa essere utilizzato liberamente per qualsiasi scopo. Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing [doc. web n. 7221917].

L’intervento del Garante ha preso l’avvio dalla segnalazione di una società di consulenza finanziaria che lamentava l’invio di numerose email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori senza che questi ne avessero autorizzato la ricezione.

Dagli accertamenti, svolti presso la società dall’Autorità in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social. La società solo negli ultimi due anni ha inviato circa 100.000 email pubblicitarie.

Il Garante, anche sulla base delle Linee guida del 4 luglio 2013  che hanno disciplinato peraltro proprio il fenomeno del “social spam“, ha quindi ritenuto illecito il trattamento degli indirizzi di posta elettronica.

(Fonte Garante Privacy)

17 Mag 2017

Un emendamento contenuto nel testo del Ddl concorrenza, approvato al Senato, elimina il requisito del consenso preventivo per le chiamate promozionali, “liberalizzando” il fenomeno del telemarketing selvaggio e prevedendo come unica forma di tutela dell’utente la possibilità di rifiutare le sole chiamate successive alla prima.

L’articolo 44 approvato al Senato, che andrà a modificare l’articolo 130 del Codice in materia di protezione dei dati personali, recita: «Gli operatori e i soggetti terzi che stabiliscono, con chiamate vocali effettuate con addetti, un contatto anche non sollecitato con l’abbonato a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, hanno l’obbligo di comunicare all’esordio della conversazione i seguenti dati: 1) gli elementi di identificazione univoca del soggetto per conto del quale chiamano; 2) l’indicazione dello scopo commerciale o promozionale del contatto». Ma poi si aggiunge: «Il contatto è consentito solo se l’abbonato destinatario della chiamata, presta un esplicito consenso al proseguimento della conversazione». In sostanza, come già succede oggi, il consumatore ha solo la «libertà» di dire all’operatore che non è interessato e chiudere la conversazione, prima che l’operatore insista ulteriormente.

Antonello Soro, Garante della Privacy, dichiara che la norma contenuta nel testo del DDL Concorrenza Suscita sconcerto e preoccupazione”.  Essa elimina il requisito del consenso preventivo per le chiamate promozionali, “liberalizzando” il fenomeno del telemarketing selvaggio e prevedendo come unica forma di  tutela dell’utente la possibilità di rifiutare le sole chiamate successive alla prima.

Si tratta di una soluzione diametralmente opposta a quella – fondata sul previo consenso all’interessato – ampiamente discussa nella Commissione di merito dello stesso Senato, indicata dal Garante e, in  apparenza, largamente condivisa.

La norma peraltro risulta incoerente con la linea di maggiore tutela seguita dalla stessa Commissione nell’ambito dell’esame del Ddl sul Registro delle opposizioni.

Il testo è stato approvato dal Senato e deve tornare alla Camera per la terza

 

 

 

21 Nov 2016

Torniamo a parlare del consenso nell’attività di marketing. Nonostante il Garante Privacy si sia più volte espresso in materia e abbia emanato delle “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, in alcuni siti per procedere agli acquisti, il consenso è unico e generico.

Il caso specifico si muove a seguito di alcune segnalazioni ricevute dall’Autorità che ha avviato degli accertamenti, da cui è emerso che una società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nell’informativa (resa nell’ambito di un documento denominato “Trattamento dei dati personali”) si avvisavano gli interessati che «i dati […] potranno essere utilizzati da xx […] per la stipulazione e la gestione del contratto di erogazione dei Servizi indicati al punto 1 delle condizioni generali di contratto e per tutte le conseguenti operazioni di Suo interesse» (afferenti alla sfera contrattuale), nonché «al fine di inviarLe periodicamente messaggi contenenti pubblicità, materiale pubblicitario, annunci interni, iniziative promozionali, comunicazioni commerciali».

A fronte delle diverse finalità così identificate, non veniva però richiesto nel sito web uno specifico consenso per il trattamento dei dati raccolti per finalità promozionali; era invece possibile manifestare un unico consenso onnicomprensivo (“accetto”/”non accetto”) in relazione ai diversi trattamenti descritti nell’informativa.

Pertanto, i clienti non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali, per poter usufruire dei servizi on line. Il consenso deve essere manifestato liberamente e non deve essere condizionato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’azienda xxx, non risulta inoltre aver adempiuto all’obbligo di informativa di cui all’art. 13, comma 4, del Codice, in base al quale «se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione».

La tesi sulla mancanza di informativa dell’azienda non è conforme alla legge: non sarebbe stato possibile rendere l’informativa in forma individuale agli interessati perché «ne sarebbe disceso un impiego di mezzi manifestamente sproporzionato ‒ anche per costi e oneri ‒ rispetto al diritto tutelato», si è autonomamente determinata a procedere alla pubblicazione sul proprio sito web di una pagina dedicata ai “clienti ex xxx”.

Tale modalità, se del caso, avrebbe eventualmente dovuto essere stabilita dal Garante, come previsto dall’art. 13, comma 5, lett. c), del Codice, previamente adito, quale misura appropriata, ad esito di un’apposita valutazione sull’impossibilità (o eccessiva onerosità) in concreto dell’adempimento dell’obbligo informativo in forma individuale.

L’Autorità ha quindi vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso. Ha invece prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati.

(Fonte Garante Privacy)