Invio email commerciali, il Garante si esprime di nuovo

Torna attuale la questione dell’invio di comunicazioni commerciali e il Garante Privacy italiano si esprime nuovamente sul tema a ormai cinque anni di distanza dalle sue “Linee guida in materia di attività promozionale e contrasto allo spam” (2013)

Un’associazione onlus, per il tramite operativo della società srl di riferimento, ha proceduto a una serie di invii di comunicazioni inerenti alla figura dei consulenti reputazionali, promossa dalla stessa associazione, nei confronti di una serie di professionisti. Questi ultimi, lamentando il configurarsi di una procedura di inoltro massivo di comunicazioni a carattere commerciale, hanno inviato numerose segnalazioni all’autorità nazionale.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

A fronte degli accertamenti predisposti con l’ausilio del Nucleo Speciale Privacy dal Garante, la società ha rappresentato che:

  • I dati relativi ai vari segnalanti (nello specifico, indirizzi PEC) sarebbero stati acquisiti attraverso la consultazione di registri pubblici con l’ausilio di procedure automatizzate e non.
  • Gli invii in questione non avrebbero contenuto di stampo promozionale.
  • Tali invii sarebbero stati effettuati nel contesto di attività concordate con i Consigli Nazionali degli Ordini dei professionisti raggiunti dalle comunicazioni.

Uno dei primi aspetti contestati dal Garante riguarda la configurazione dei ruoli, relativi al trattamento, emersa dagli accertamenti condotti. Il rapporto tra la onlus, quale Titolare del trattamento, e la società srl, in qualità di responsabile del trattamento, in realtà si sostanzia in una contitolarità tra i due soggetti.

La raccolta dei dati è effettuata da parte di soggetti interni e da soggetti di società terza, non designata come responsabile del trattamento, in aperta violazione dei principi generali di liceità, correttezza e finalità propri del Codice Privacy; ma non solo:

  • Nel D.lgs. n. 82/2005 viene espressamente prevista quella che è la finalità primaria di INI-PEC, ossia “favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica”. Pertanto, viene corroborato il dettato delle Linee Guida, escludendo sia l’utilizzo diretto da parte di privati, sia l’utilizzo per finalità di carattere promozionale;
  • Infine il D.L. n. 185/2008 sancisce che l’estrazione di elenchi di indirizzi è consentita “alle sole PA per le comunicazioni relative agli adempimenti amministrativi di loro competenza”.

Nel citato Provvedimento del Garante del 4-7-2013, si prevede il lecito utilizzo degli indirizzi PEC per inviare e-mail promozionali solo a fronte di previo consenso da parte degli interessati. Inoltre le attività previste in connessione alla figura dei consulenti reputazionali sono di fatto finalizzate all’offerta di opportunità lavorative all’interno della stessa società srl coinvolta. Il Garante dunque perviene alla decisione di vietare il trattamento dei dati personali e far procedere alla cancellazione degli stessi.

Leggi anche:  Il 58% delle famiglie di malware vendute “as a service” sono ransomware

Il tema del consenso su cui si fonda buona parte del provvedimento fa riferimento all’ipotesi “opt-in”, in base alla quale non è possibile ricorrere a strumenti automatizzati per finalità di marketing senza il preventivo consenso dell’utente. Al netto di valutazioni sulla eventuale “sopravvivenza” dei Provvedimenti dell’Autorità Garante nazionale rispetto alla nuova normativa europea, le prescrizioni relative al consenso, trovano piena continuità e nuove definizioni all’interno del GDPR, laddove si prevede all’art. 7, che il consenso dell’interessato deve “essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile   di   accettare   il   trattamento   dei   dati   personali   che   lo   riguardano, ad   esempio mediante   dichiarazione   scritta,   anche   attraverso   mezzi   elettronici”.


Yuri Monti consultant Colin & Partners – www.consulentelegaleinformatico.it