Il Garante della privacy è intervenuto contro un noto operatore di telefonia mobile che aveva mandato sms pubblicitari senza il consenso dei destinatari.
L’Authority ha poi prescritto al medesimo gestore di adottare misure organizzative e tecniche che consentano a coloro che revocano il consenso di non ricevere più messaggi pubblicitari. A norma del Codice della privacy, infatti, si possano inviare lecitamente messaggi pubblicitari (sms, mms, e-mail) solo dopo aver acquisito il consenso informato degli interessati; oltretutto, i dati devono essere esatti e, se necessario, aggiornati.
l problema era dovuto al fatto che i dati personali dei clienti della società (i quali avevano inizialmente manifestato il loro consenso a ricevere pubblicità) confluivano in una banca dati – che però non veniva mai di fatto aggiornata nella sezione relativa al consenso, per cui le istanze di revoca, successive alla stipula del contratto, finalizzate alla cessazione degli invii pubblicitari rimanevano infatti inascoltate. Il Garante della privacy ha così emanato un provvedimento (in data 23.01.2008) di divieto di trattamento di tali dati personali e ha prescritto alla società una serie di misure organizzative e tecniche che dovranno essere adottate entro la fine di febbraio 2008.
Il relatore del provvedimento, Giuseppe Fortunato ha affermato che "il consenso per questi messaggi pubblicitari o promozionali deve essere sempre informato, specifico e preventivo altrimenti l’attività è illecita. Anche quando il consenso è dato può comunque essere sempre liberamente revocato. Il provvedimento di divieto del Garante è, peraltro, accompagnato dall’espressa avvertenza che l’inosservanza è punita con la reclusione da tre mesi a due anni. Un messaggio ai disturbatori: non disturbateci con i messaggi".
Segue il testo del provvedimento.
Provvedimento del 23 gennaio 2008
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");
VISTO l’art. 130, comma 2, del Codice che prevede, per l’invio di comunicazioni commerciali a carattere pubblicitario o promozionale mediante messaggi del tipo mms (multimedia messaging service) o sms (short message service), il presupposto del necessario consenso informato, specifico e preventivo dell’interessato;
VISTE le segnalazioni di Ugo Mario Dessy del 27 marzo 2007 e di Barbara Fiorillo del 26 giugno 2007, con le quali i segnalanti hanno lamentato a questa Autorità la ricezione di messaggi promozionali tramite sms e mms da parte di H3G S.p.A. (di seguito "H3G"), nonostante la loro richiesta, successiva alla sottoscrizione dell’abbonamento, di non ricevere più tali messaggi manifestata con la revoca del consenso;
CONSIDERATO che tali segnalazioni fanno riferimento, in particolare, al servizio denominato "Adesso 3" (qualificato dalla società, in un documento allegato a una delle segnalazioni, come "una campagna di promozione sui servizi e contenuti") e che tale campagna "viene attivata gratuitamente a tutti i clienti che hanno espresso il consenso alla ricezione delle comunicazioni commerciali";
VISTA la nota di riscontro fornita da H3G il 7 maggio 2007 alla richiesta di informazioni rivolta da questa Autorità in data 19 aprile 2007 in ordine alla prima, indicata segnalazione;
CONSIDERATO che la società ha dato seguito alla richiesta del segnalante Dessy di non ricevere più messaggi promozionali relativi al servizio "Adesso3" solo a seguito dell’intervento dell’Autorità;
CONSIDERATO che di seguito alla seconda, menzionata segnalazione si è reso necessario curare accertamenti in loco ai sensi dell’art. 157 del Codice, svoltisi in data 18 e 19 dicembre 2007 presso H3G (sede di Trezzano sul Naviglio) per verificare l’osservanza delle disposizioni in materia di protezione dei dati personali in relazione ai trattamenti effettuati per finalità di marketing tramite l’invio di messaggi promozionali per mezzo di sms e di mms;
VISTE le risultanze di tali accertamenti, dalle quali emerge che i dati personali di coloro che stipulano un contratto di abbonamento telefonico con H3G confluiscono in una banca dati denominata Peoplesoft, nella quale viene annotato che gli interessati hanno manifestato il loro consenso alla ricezione di comunicazioni per finalità di marketing tramite sms e mms;
RILEVATO dalle stesse risultanze che tale banca dati è utilizzata per la creazione di una specifica "lista" di coloro che hanno manifestato detto consenso e che tale lista è stata "formata appositamente con la nascita del servizio Adesso 3 nel settembre 2006";
CONSIDERATO che la medesima lista viene aggiornata eliminando solo i clienti che hanno chiesto specificamente la disattivazione del servizio "Adesso 3" e non anche coloro che hanno revocato, più in generale, il consenso alla ricezione di messaggi promozionali di qualunque genere; rilevato che ciò risulta, in particolare, dalle dichiarazioni rese a verbale dal dott. Michelangelo Bottesini, secondo cui "la lista da cui viene attinto l’elenco dei clienti destinatari della campagna Adesso3 non ha mai tenuto conto delle revoche del consenso di quei clienti che non volevano più ricevere comunicazioni promozionali";
CONSIDERATO che l’invio dei messaggi promozionali tramite sms e mms relativi a "Adesso 3", effettuato da H3G nei confronti degli interessati che hanno revocato il loro consenso, configura un trattamento illecito di dati (art. 130 Codice);
CONSIDERATO che l’art. 11, comma 1, lett. c) del Codice prescrive che i dati personali oggetto di trattamento devono essere esatti e, se necessario, aggiornati;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d’ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
RILEVATO che il predetto trattamento di dati personali, il quale non risulta effettuato in modo lecito, ha carattere sistematico;
RILEVATA quindi la necessità di adottare nei confronti di H3G un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato all’invio di messaggi promozionali tramite sms e mms relativi al servizio "Adesso 3", ed effettuato nei riguardi di soggetti che hanno revocato il consenso;
TENUTO CONTO che, ai sensi dell’art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice ha, altresì, il compito di prescrivere al titolare le misure necessarie o opportune per rendere il trattamento conforme alle disposizioni vigenti e ritenuta la necessità di ripetere alla società alcune prescrizioni al riguardo;
RISERVATA, con autonomo provvedimento, la verifica dei presupposti per l’eventuale contestazione della violazione amministrativa concernente l’inidonea informativa (artt. 13, comma 4 e 161 del Codice);
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
RELATORE il dott. Giuseppe Fortunato;
1) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, dispone nei confronti di H3G S.p.A. con sede a Trezzano sul Naviglio (Mi), via Leonardo da Vinci n. 1, il divieto del trattamento illecito dei dati personali della clientela utilizzati illecitamente per inviare sms e mms promozionali relativi al servizio "Adesso 3" nei confronti di soggetti che hanno revocato il proprio consenso;
2) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), prescrive a H3G S.p.A. di:
a) adottare idonee misure organizzative e accorgimenti tecnici volti ad assicurare che coloro che revocano il consenso alla ricezione di messaggi promozionali da parte della società non ricevano più sms e mms relativi al servizio "Adesso 3";
b) adottare le misure e gli accorgimenti di cui alla lettera a) entro e non oltre il 28 febbraio 2008, dando documentato riscontro entro lo stesso termine a questa Autorità dell’avvenuto adempimento.
Roma, 23 gennaio 2008
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli
