English Version
Regole su Privacy e Cookies
Regole su Privacy e cookies
Sintesi basata sull'esame dei provvedimenti del Garante della Privacy
Era digitale e tutela dallo spam
La tecnologia in continua evoluzione ed il crescente utilizzo del web impongono la necessità di una regolamentazione sulla privacy sempre aggiornata, in grado di tutelare gli utenti di internet dal fenomeno dello spam (=invio di pubblicità senza il consenso del destinatario).
In Italia, è al Garante della Privacy che gli interessati possono presentare segnalazioni, reclami e ricorsi in relazione allo spam subito, a partire dalle forme tradizionali (come le email indesiderate), fino alle nuove forme di spam (marketing virale, marketing mirato, social spam ecc.).
Va precisato che unicamente le persone fisiche possono rivolgersi al Garante; invece, le persone giuridiche hanno a disposizione i mezzi di tutela ordinari (azione inibitoria e/o azione di risarcimento del danno e, qualora ne sussistano i presupposti, denuncia penale). Qualora emergano i presupposti di un possibile trattamento illecito di dati, inoltre, l'autorità può procedere d'ufficio ad emettere provvedimenti inibitori, prescrittivi o sanzionatori.
Si può presentare reclamo al Garante anche nel caso in cui l'indirizzo di posta elettronica al quale si è ricevuto lo spam sia personale, seppure su dominio aziendale (es. nome.cognome@società.com).
E' lo stesso Garante della Privacy a dettare le linee guida in materia di attività promozionale e contrasto allo spam, in linea con le direttive comunitarie e il quadro normativo vigente.
Dai provvedimenti del Garante, si evincono tutte le seguenti linee guida:
1) no allo spam, sì alle offerte commerciali "amiche dei consumatori" - Reclami e Sanzioni contro lo spam
2) no al trattamento dei dati personali per finalità di marketing senza acquisizione del consenso preventivo (opt-in)
3) i Provider devono installare filtri antispam per prevenire il phishing
4) obbligatorio pubblicare sui siti web l'informativa sulla privacy
6) no all'informativa sulla privacy priva di recapito email per esercitare i diritti di cui all'art. 7 del Codice (richiesta cancellazione, modifica ecc.)
7) per acquisire consenso al trattamento dati per finalità di marketing, obbligatorio checkbox autonomo
8) sì all'acquisizione di un consenso unico per le varie forme di promozione a fini di marketing (invio pubblicità, ricerche di mercato, email, sms, posta cartacea, telefonate)
10) nell'informativa sulla privacy va specificato che il consenso al trattamento dati viene prestato tanto per la pubblicità tradizionale (es. posta cartacea, chiamata con operatore) che per la pubblicità con strumenti automatizzati (es. email) e che il diritto di opposizione si estende a entrambe le forme o anche a una sola di esse
11) no alla cessione a terzi dei dati raccolti senza preventiva acquisizione del consenso specifico per tale finalità
12) vietato l'invio di email di massa lasciando in chiaro gli indirizzi
13) sì al "soft spam" o invio di email promozionali ai clienti che hanno già acquistato prodotti simili
14) no all'appalto di campagne di marketing senza verificare che agenti e subagenti non effettuino spam
15) sì alle offerte commerciali ai fans o followers sui Social Media
16) sì al "passaparola" agli amici
17) no all'acquisizione di recapiti pubblicati nel web per diffondere messaggi pubblicitari
Linee guida del Garante della Privacy in materia di attività promozionale e contrasto alla spam
FAQ sui cookies
6) Cookies con finalità di marketing
7) Cookies per la profilazione degli utenti
8) Principio del opt-in (preventivo consenso informato) per i cookies
9) Caratteristiche del consenso
10) Come escludere l'uso dei cookies
11) Chi deve ottenere il consenso: le third parties possono acquisire il consenso tramite il first party website?
Casi di studio: pronunce del Garante della Privacy
2) Lamentata inadeguatezza del riscontro alla contestazione della raccolta dati: rigetto domanda
3) Invio email promozionali con consenso acquisito in forma generica: illegittimità
4) Utilizzo di una rete di comunicazione elettronica per accedere ad informazioni archiviate nel terminale dell'utente: illiceità (informata Autorità giudiziaria)
Linee Guida
1) No allo spam, sì alle offerte commerciali "amiche dei consumatori" - Reclami e Sanzioni contro lo spam
Il principio generale è che i consumatori non debbano ricevere pubblicità senza aver prima espresso il consenso.
Lo spam è la ricezione di messaggi pubblicitari indesiderati. Le persone fisiche possono fare segnalazioni contro lo spam al Garante della Privacy.
Il Garante può applicare provvedimenti inibitori, prescrittivi e sanzioni amministrative in relazione alle varie forme di spamming.
Se emerge un possibile trattamento illecito di dati personali, i fatti vengono resi noti all'Autorità giudiziaria, che può procedere penalmente d'ufficio.
Sono previste sanzioni fino a 500.000 Euro!
2) No al trattamento dei dati personali per finalità di marketing senza acquisizione del consenso preventivo (opt-in)
Il trattamento dei dati per finalità di marketing è consentito solo sulla base di opt-in o consenso preventivo del destinatario al trattamento dei dati per finalità di marketing.
E' spam l'invio di comunicazioni commerciali in assenza di opt-in. Non sono lecite le comunicazioni promozionali inviate senza il preventivo consenso del destinatario, anche se avvisano della possibilità di opporsi ad ulteriori invii; deve sussistere l'acquisizione preventiva del consenso affinché tali comunicazioni possano essere legittimamente effettuate.
3) I Provider devono installare filtri antispam per prevenire il phishing
In tema di spam, uno dei fenomeni più pericolosi è il phishing, o invio di email contraffatte, anche con loghi o nomi di Banche, istituzioni, Poste ecc., volte ad impossessarsi delle password del conto corrente o della carta di credito del destinatario.
Quest'ultimo viene indotto ingannevolmente a cliccare su un link, attraverso il quale si attuerà il phishing.
Quando si ricevono email di questo tipo, oltre a non cliccare su alcun link riportato nell'email e a non fornire per nessun motivo dati personali né tantomeno le chiavi di accesso ai propri dati bancari, è bene effettuarne la segnalazione come phishing attraverso il proprio Provider.
Provider come Google inseriscono nella posta elettronica sia l'opzione per segnalare l'email come phishing che come spam, questo al fine di facilitare gli utenti.
Il Garante dispone che i Provider provvedano all'installazione di appositi filtri che consentono di riconoscere lo spam ("mutua autenticazione dei rispettivi server, nel rispetto della neutralità tecnologica").
4) Obbligatorio pubblicare sui siti web l'informativa sulla privacy
I siti web, sia che essi includano l'opzione per registrarsi, sia che essi contengano un semplice modulo contatti, sia che essi utilizzino cookies, raccolgono informazioni sugli utenti.
Per questo i siti web devono contenere un'informativa sulla privacy, dove si specifica quale uso viene fatto dei dati raccolti e si forniscono gli ulteriori elementi richiesti dall'art. 13 del Codice Privacy L. 196/2003 (titolare del trattamento, modalità per chiedere cancellazione o modifica dei dati ecc.).
5) No all'invio di comunicazioni promozionali senza aver prima rilasciato ai destinatari l'informativa sulla privacy
I destinatari di comunicazioni promozionali devono essere preventivamente informati in modo chiaro e completo (ai sensi dell'art. 13 del Codice privacy) in merito al trattamento dei dati.
Non sono lecite le comunicazioni pubblicitarie che si limitano ad avvisare della possibilità di opporsi ad eventuali invii, ma deve sussistere la preventiva acquisizione del consenso a ricevere email per finalità di marketing.
6) No all'informativa sulla privacy priva di recapito email per esercitare i diritti di cui all'art. 7 del Codice (richiesta cancellazione, modifica ecc.)
Le modalità per chiedere notizie sull'origine dei dati, sulla loro acquisizione, per richiederne modifica o cancellazione, deve essere "senza formalità" (cfr art. 8 del Codice); a tal fine, non può essere richiesto l'invio di raccomandata, ma occorre fornire un recapito email valido.
7) Per acquisire consenso al trattamento dati per finalità di marketing, obbligatorio checkbox autonomo
Nei siti web, all'atto dell'acquisizione dei dati personali che si vogliano utilizzare anche per finalità di marketing, è necessario predisporre un checkbox apposito che l'utente può facoltativamente barrare per prestare il consenso a ricevere comunicazioni promozionali.
Per inviare comunicazioni pubblicitarie non è sufficiente il consenso generico al trattamento dei dati, ma occorre l'acquisizione del consenso al trattamento per finalità di marketing.
8) Sì all'acquisizione di un consenso unico per le varie forme di promozione a fini di marketing (invio pubblicità, ricerche di mercato, email, sms, posta cartacea, telefonate)
Nel marketing rientrano varie attività, come la vendita diretta, l'invio di messaggi pubblicitari, i sondaggi ecc. e per esse è sufficiente l'acquisizione di un consenso unico, perché unico è lo scopo perseguito (marketing).
Diversamente, la procedura risulterebbe troppo caotica, anche per lo stesso utente.
9) Il consenso all'invio di comunicazioni promozionali dev'essere libero, informato, specifico e documentato per iscritto
Il consenso per l'invio di comunicazioni promozionali, per essere validamente prestato, dev'essere libero, informato e specifico; inoltre, dev'essere documentato per iscritto.
"Libero": ad esempio, non lo è se il flag sul checkbox era preimpostato o se la registrazione a un sito o la fruizione dei servizi del sito è subordinata al rilascio del consenso al trattamento per finalità promozionali.
In questi casi il consenso, come più volte chiarito dal Garante, non sarebbe "libero", ma "necessitato" quale condizione per usufruire di un servizio e quindi non validamente acquisito.
"Informato": lo è se l'utente è stato provvisto di un'informativa chiara e completa sul trattamento dei dati (secondo le previsioni dell'art. 13 del Codice).
"Specifico": per ciascuna finalità (marketing, profilazione, cessione a terzi) va acquisito un consenso autonomo.
Occorre archiviare la documentazione relativa all'acquisizione del consenso, in modo da poterla produrre, se si subisce un reclamo. In questo caso è infatti necessario produrre una prova documentale.
10) Nell'informativa sulla privacy va specificato che il consenso al trattamento dati viene prestato tanto per la pubblicità tradizionale (es. posta cartacea, chiamata con operatore) che per la pubblicità con strumenti automatizzati (es. email) e che il diritto di opposizione si estende a entrambe le forme o anche a una sola di esse
Il trattamento dei dati a fini promozionali con strumenti automatizzati si contrappone al trattamento con modalità tradizionali e non automatizzate.
Pertanto, ferma restando l'acquisizione di un unico consenso per pubblicità tradizionale e con strumenti automatizzati, va specificato nell'informativa che: (i) il consenso è prestato sia per pubblicità con mezzi tradizionali che con mezzi automatizzati (ii) e che il diritto di opposizione si estende a entrambe le forme o anche solo all'invio di promozioni con strumenti automatizzati.
11) No alla cessione a terzi dei dati raccolti senza preventiva acquisizione del consenso specifico per tale finalità
Attenzione perché se il titolare del trattamento ha intenzione di cedere a terzi i dati raccolti tramite form contatti, registrazione al sito, ecc., deve specificare nell'informativa tale finalità, individuando i terzi cessionari o quanto meno la loro categoria economica o merceologica.
E il consenso raccolto per la cessione a terzi deve essere autonomo rispetto a quello acquisito per l'attività promozionale svolta dal titolare stesso del trattamento.
I terzi, una volta acquisiti i dati, possono inviare materiale pubblicitario non prima di aver rilasciato ai destinatari la propria informativa sulla privacy, salvo che all'acquisizione originaria del consenso non fossero già individuati specificamente i terzi cessionari.
12) Vietato l'invio multiplo di email lasciando in chiaro gli indirizzi
E' diffusa la promozione mediante liste di email o email di massa (email marketing). Al riguardo, va detto che è vietato l'invio multiplo lasciando in chiaro gli indirizzi dei destinatari del messaggio, i quali altrimenti verrebbero a conoscenza degli indirizzi di tutti gli altri destinatari. Tale pratica costituisce comunicazione di dati personali a terzi.
E' necessario mantenere coperti gli indirizzi, ad esempio, utilizzando l'invio in copia nascosta (Ccn) oppure programmi appositi per l'invio di email di massa (che con un solo comando di invio, inoltrano la stessa email separatamente ai vari destinatari).
13) Sì al "soft spam" o invio di email promozionali ai clienti che hanno già acquistato prodotti simili
Il soft spam è consentito.
Si tratta dell'invio di email promozionali senza consenso specifico a quei clienti che hanno già acquistato prodotti analoghi dall'Azienda stessa.
Si presume un interesse a ricevere promozioni e offerte dal fornitore. Per preservare la libertà del destinatario, è necessario inserire sempre nell'email la possibilità di opt-out.
14) No all'appalto di campagne di marketing senza verificare che agenti e subagenti non effettuino spam
Nelle campagne di email marketing spesso il soggetto che invia le email non coincide con il titolare del trattamento: ci si potrebbe chiedere quindi se il titolare del trattamento risponda o meno per lo spam di terzi (Agenti).
Al riguardo, il Garante si è espresso senza dubbio in senso affermativo, purché l'Agente sia soggetto a decisioni e modalità di trattamento determinate dal promotore.
Il Garante ha precisato che il soggetto promotore è titolare e responsabile del trattamento.
Egli è tenuto a controlli nei confronti di Agenti e sub-agenti per verificare che non sia fatto spam e peraltro deve sempre conoscere a chi vengano subappaltati i servizi di promozione, in modo da essere sempre in grado di rispondere alle richieste degli interessati sul trattamento dei dati.
Il promotore deve nominare l'Agente nell'informativa sulla privacy solo se non sia un mero incaricato sotto il suo diretto controllo.
15) Sì alle offerte commerciali ai fans o followers sui Social Media
E' sempre più diffuso il "Social spam", ovvero l'invio di messaggi promozionali e link attraverso le reti Social. E' una pratica illecita quella di usare i dati presenti sui Social media per far pervenire pubblicità o telefonate non desiderate.
L'invio è lecito nel caso di messaggi a scopo personale ed anche nel caso della comunicazione inviata a scopo promozionale ai fan e followers di una pagina.
Se il destinatario smette di seguire la pagina, però, non può più desumersi il suo consenso a ricevere messaggi promozionali relativi a quel marchio. Quindi le offerte a fan e followers sui Social media possono essere inviate purché i destinatari non abbiano smesso di seguire la pagina aziendale.
Per quanto riguarda la privacy e l'utilizzo dei Social Media, va aggiunto che occorre leggere con attenzione le condizioni di utilizzo, perché le piattaforme Social possono prevedere ai fini del loro uso l'accettazione di commercializzazione e profilazione dei dati forniti, nonché l'acquisizione dei dati contenuti nei propri dispositivi come indirizzi email e liste contatti.
Le policy delle piattaforme Social sono sempre più semplificate, tendendo ad acquisire il consenso per la profilazione degli utenti e per l'acquisizione delle loro reti di contatti unificando i profili sui diversi servizi.
Questa pratica agevola lo "spam mirato" ovvero l'invio di comunicazioni commerciali a un dato target di utenti, il che abbassa i costi del marketing anche se comprime la libertà degli utenti, che per usufruire di una piattaforma devono necessariamente accettarne le regole.
16) Sì al "passaparola" agli amici
Tra le tecniche di marketing è sempre più diffusa quella del "marketing virale", che consiste nella diffusione virale via web di un messaggio promozionale. Dietro incentivi di vario genere, i destinatari inoltrano il messaggio alle loro liste contatti. Con questo meccanismo, il messaggio promozionale è oggetto di un passaparola, che si diffonde "a macchia d'olio".
Al riguardo va detto che è legittimo consigliare un prodotto agli amici, mentre non è legittimo acquisire dati pubblicati nel web allo scopo di diffondere messaggi pubblicitari.
17) No all'acquisizione di recapiti pubblicati nel web per diffondere messaggi pubblicitari
E' spam l'invio di comunicazioni commerciali in assenza di opt-in, anche se i dati del destinatario siano stati estrapolati da siti pubblicati nel web.
La pubblicazione dei dati non equivale all'accettazione implicita a ricevere messaggi pubblicitari.
Cookies
1) Cosa sono i cookies
I cookies sono piccoli file di testo inviati dai siti visitati al browser dell'utente; vengono conservati per essere ritrasmessi ai mittenti quando il sito viene visitato dall'utente. E' possibile eliminarli dalle impostazioni del proprio browser.
2) Cookies di terze parti
I cookies di terze parti sono i cookies inviati al browser dell'utente non direttamente dal sito visitato, ma da terze parti che si servono del sito stesso (esempio: cookies di Facebook inviati al browser dell'utente che visita un sito collegato a Facebook tramite Social plugin).
3) A cosa servono i cookies
I cookies possono servire per scopi differenti: per autenticazione dell'utente, per monitorare le sessioni di navigazione, per raccogliere informazioni specifiche sugli utenti che accedono a un dato server.
4) Cookies tecnici
I cookies tecnici consentono di identificare l'utente e sono necessari per l'erogazione di servizi online come acquisti, home banking, pagamento bollette, autenticazione, personalizzazione della lingua, contenuti multimediali se scadono alla fine della sessione, purché non usati per propositi addizionali.
Vengono usati in risposta ad una richiesta dell'utente e solo per la finalità prevista.
5) Cookies analitici
I cookies analitici raccolgono dati aggregati per fini statistici. In questo caso deve fornirsi all'utente un'informativa chiara, che spieghi quali meccanismi sono usati per far sì che i dati restino anonimi.
6) Cookies con finalità di marketing
I cookies con finalità di marketing richiedono l'opt-in preventivo per essere rilasciati nel browser dell'utente. E' oggi molto diffusa la "behavioural adv", ovvero una pubblicità mirata, basata sul comportamento dell'utente, detta anche "remarketing".
In tal caso, i cookies vengono depositati nel sistema con un id unico, il che consente di tracciare la navigazione dell'utente nel sito per scopi statistici o pubblicitari. A seconda del comportamento dell'utente, vengono mostrati annunci mirati.
Ad esempio, è possibile mostrare all'utente interessato al fitness annunci Adwords display relativi a tale settore, mentre naviga sui siti con banner Adsense o su You Tube.
7) Cookies per la profilazione degli utenti
I cookies con finalità di profilazione degli utenti richiedono l'opt-in preventivo per essere rilasciati nel browser dell'utente. A tal fine, non è sufficiente specificare l'uso di cookies a scopo pubblicitario. Invece, si deve specificare che "i cookies consentiranno al sito di profilare i visitatori in vista di attività di vendita diretta".
8) Principio del opt-in (preventivo consenso informato) per i cookies
Salvo per i cookies tecnici, dove il consenso si desume dalla richiesta del servizio, per l'uso di tutti gli altri cookies è necessaria l'acquisizione del preventivo consenso dell'utente.
9) Caratteristiche del consenso
Il consenso che l'utente deve esprimere ai fini dell'utilizzo dei cookies è specifico (va precisata la finalità dei cookies), libero (e non necessitato), esplicito (non può desumersi). E' necessario mostrare sul sito l'apposita cookie bar, nonché l'informativa nella quale si indica quali cookies sono utilizzati dal sito e si specificano le finalità da essi perseguite.
10) Come escludere l'uso dei cookies
Abilitare e disabilitare i cookies è possibile tramite le impostazioni del browser.
Alcuni browser consentono di bloccare selettivamente i cookies di terze parti o i cookies di determinati domini.
Esistono anche dei plugin software che consentono al browser di selezionare i cookies sulla base del dominio da cui provengono.
Infine, il dispositivo "do not track", che però non è ancora considerato uno standard per i browser, consente di decidere quando si visita ciascun sito se si desidera essere tracciati o meno da quel sito.
11) Chi deve ottenere il consenso: le third parties possono acquisire il consenso tramite il first party website?
I gestori di ciascun sito web devono provvedere ad acquisire il consenso per l'uso dei cookies inclusi quelli di terze parti.
Però la first party non può essere vincolata a specificare le modalità in cui operano i third party cookies, né le third parties possono demandare al first party website l'acquisizione del consenso per loro conto.
Ogni richiesta di consenso dev'essere specifica, in modo che il destinatario sia in grado di scegliere consapevolmente.
1) Download di un add-on vincolato all'accettazione del trattamento dati per finalità di marketing: illegittimità
Il Garante della Privacy si è pronunciato sulla legittimità della richiesta di prestare consenso al trattamento dati per fini di marketing al fine di poter scaricare l'add-on di un software.
Innanzitutto è stata testata la sussistenza della situazione lamentata dal ricorrente, attraverso una simulazione. E' risultata la presenza di un checkbox obbligatorio per "consenso al trattamento dati e alla comunicazione anche per fini promozionali".
Senza flag sul checkbox non era possibile scaricare l'add-on. Era presente il link all'informativa sulla privacy, con le modalità per rifiutare ulteriori messaggi promozionali. La Società resistente si è difesa sostenendo che le comunicazioni inoltrate, di fatto, sarebbero state esclusivamente riferite al contratto e di aver già provveduto ad eliminare la procedura con la richiesta di consenso.
Il Garante ha osservato che: (i) per la fornitura del servizio, il trattamento dati può essere eseguito senza acquisizione del consenso (implicito nella stipula del contratto); (ii) per le finalità ulteriori (es. commerciali) è necessaria la preventiva acquisizione del consenso; (iii) il consenso per essere valido deve essere libero e non necessitato: non può porsi la prestazione del consenso quale condizione per ricevere la prestazione; (iv) il consenso dev'essere prestato in modo specifico per le singole finalità ed invece qui non era concessa la possibilità autonoma e facoltativa di opt-in per le comunicazioni con finalità di marketing ma veniva acquisito un unico consenso per trattamento dati e per finalità di marketing, con sola possibilità di opt-out successivo; (v) la resistente avrebbe potuto acquisire solo il consenso per trattamento dati e fare comunque "soft spam", invece ha ritenuto di richiedere un consenso che non viene liberamente prestato.
La decisione (del 21/11/2013): la procedura descritta per la raccolta del consenso costituisce trattamento illecito di dati; sussiste quindi la necessità di adottare un provvedimento di divieto del trattamento dei dati acquisiti con tali modalità per l'invio di messaggi promozionali. L'eventuale inosservanza di tale divieto è sanzionata con reclusione da 3 mesi a 2 anni e pagamento sanzione da 30 mila a 180 mila Euro.
Gli interessati possono agire in sede civile per l'eventuale risarcimento del danno.
La resistente può opporsi al provvedimento entro 30 giorni dalla comunicazione, con ricorso al Tribunale del luogo dove risiede il titolare del trattamento.
Casi di studio
2) Lamentata inadeguatezza del riscontro alla contestazione della raccolta dati: rigetto domanda
Il Garante della Privacy si è pronunciato sul riscontro alla contestazione della raccolta dati, a seguito della compilazione di un modulo in internet da parte del ricorrente.
Egli lamenta la tardività ed inadeguatezza della risposta ricevuta, dopo che, avendo compilato e inoltrato un modulo contatti, aveva scritto al titolare del trattamento dati, chiedendo conferma e origine dei dati, nonché la loro cancellazione.
Questo, in quanto aveva ricevuto delle email promozionali ritenendo di non aver prestato il consenso. Richiede ora al Garante il ristoro delle spese sostenute per il procedimento e la valutazione circa la sussistenza di un eventuale reato.
La Società resistente ha sostenuto a propria difesa di aver fornito riscontro e provveduto alla cancellazione dei dati, a suo tempo acquisiti dopo che il ricorrente si era registrato al sito, spuntando il checkbox con il quale aveva accettato il trattamento dei dati con le modalità stabilite nel regolamento del sito.
La decisione (del 10/10/2002): il Garante ha rigettato il ricorso, condannando comunque la resistente a pagare metà delle spese processuali del ricorrente, per "giusti motivi legati al tenore del riscontro inviato prima e dopo la presentazione del ricorso".
3) Invio di email promozionali con consenso acquisito in forma generica: illegittimità
Il Garante si pronuncia sull'invio di email promozionale da parte di Agenti avvenuto sulla base di un consenso che il ricorrente lamenta essere inidoneo.
Un messaggio promozionale è oggetto di reclamo e risulta essere stato inviato da una Società incaricata di effettuare una campagna promozionale, che ha utilizzato le proprie liste di contatti, acquisite mediante registrazione alla newsletter di un sito web.
Il Garante ha effettuato un accertamento d'ufficio: per iscriversi alla newsletter è obbligatorio spuntare il checkbox col quale si acconsente "al trattamento dati personali", dicitura che non risulta sufficientemente esplicita. Non basta la possibilità di opt-out, che consente di disiscriversi dalla newsletter. Il consenso è stato infatti acquisito senza precisare che veniva concesso a fini promozionali e, per di più, in modo indebitamente necessitato, per conseguire una prestazione richiesta (newsletter).
La decisione (del 25/09/2014): Il Garante ha ritenuto sussistere un trattamento illecito di dati ed ha vietato alla Società incaricata della campagna l'invio di ulteriori messaggi promozionali nei confronti degli iscritti alla newsletter, prescrivendo l'adozione sul sito delle opzioni corrette, ovvero: facoltà di esprimere un consenso specifico per il trattamento dei dati a fini promozionali.
4) Utilizzo di una rete di comunicazione elettronica per accedere ad informazioni archiviate nel terminale dell'utente: illiceità (informata Autorità giudiziaria)
Il Garante si pronuncia sull'acquisizione con "procedura random" di indirizzi di posta elettronica tramite software apposito e loro utilizzo per invio di messaggi promozionali.
Premessa: In passato, il Garante aveva già disposto il blocco del trattamento dei dati così acquisiti, per prevenire altre violazioni. A seguito di nuovi reclami, è risultato che il sito, con relativa banca dati, era stato trasferito ad altra società e che era stata costituita una società ulteriore che si obbligava a trasferire a terzi la banca dati degli utenti registrati ai servizi del sito.
Viene accertato che: 1) per l'adesione ai servizi del sito viene acquisito un consenso generico; 2) l'informativa è inadeguata, poiché il suo tenore induce l'utente medio a sottovalutare le conseguenze del consenso, che pertanto non è prestato in modo libero (viene esposto che i cookies sono volti a "memorizzare e a volte tenere traccia dei dati degli utenti del sito"; viene autorizzata una società terza al "trattamento dei dati per fini commerciali" e altri fini riportati sulle condizioni di utilizzo, non citate tramite link, consultando le quali si desume che i dati vengono ceduti a terzi per finalità di marketing; viene consentito di disiscriversi solo mediante raccomandata con ricevuta di ritorno); 3) per l'iscrizione a "newsletter e offerte", il checkbox di accettazione dell'informativa sulla privacy risulta precompilato con il flag; 4) non viene data la possibilità di esprimere il consenso in modo differenziato in relazione alle diverse finalità (analisi, marketing, cessione a terzi dei dati); 5) l'uso dei cookies descritto nell'informativa viola il diritto di utilizzo di una rete di comunicazione elettronica per accedere a informazioni archiviate nel terminale dell'utente (art. 122 Codice); 6) la modalità di disiscrizione mediante raccomandata RR risulta contro l'art. 8 del Codice (che prescrive la cancellazione senza formalità).
Alla luce dei motivi enunciati, il Garante accerta che risultano violate varie disposizioni sulla disciplina in materia di protezione dei dati personali, dati che, acquisiti in violazione della disciplina vigente, non possono essere utilizzati.
La decisione (del 10/05/2006): Il Garante vieta l'utilizzo dei dati sia alla resistente sia alle società che hanno acquisito i dati (individuate nel provvedimento).
L'eventuale violazione del divieto è punita con la reclusione da 3 mesi a 2 anni. Il Garante ha informato l'Autorità giudiziaria per accertare il reato di trattamento illecito dei dati (167 Cod.).
© Copyright 2014 - 2018. Tutti i diritti riservati. Ogni uso del Materiale non espressamente autorizzato dall'autore Giacinto Elia "Agapeuno" Roma, Italia, costituisce violazione di copyright, legittimando l'autore Giacinto Elia ad esercitare tutti i diritti ed azioni previsti dalle leggi internazionali in tema di copyright. Per richieste di autorizzazione e ordini, per favore invia un'email a info@agapeunoteam.com
A causa di trascorse esperienze e per tutelare le reciproche aspettative, informiamo che non accettiamo più pagamenti basati su percentuale, ma solo sulla base del lavoro svolto e dei risultati raggiunti.
Tutti i servizi di Agapeuno Team sono erogati da:
Giacinto Elia e Maria Teresa Cantafora
Maria Teresa Cantafora - 00136 Rome Italy
mobile: +39 339 6167028 +39 370 1294594
email: info@agapeunoteam.com
P.IVA : 13505281009
Webmaster Agapeuno opera da Roma Italia e coopera con Aziende di tutto il mondo.