La profilazione è molto utile per le aziende: però, per creare profili dei clienti in base ai loro gusti e alle loro abitudini o utilizzare i loro dati personali a fini di marketing, le aziende devono chiedere ed ottenere uno specifico consenso. Ma ciò non sempre accade.
Pertanto, in un caso simile, il Garante per la protezione dei dati personali, con un provvedimento di cui è stato relatore Mauro Paissan, ha vietato ad una società che opera nel settore dell’energia elettrica e del gas in alcune province del Nord Italia, l’ulteriore trattamento dei dati personali della clientela raccolti illecitamente.
Nel caso di specie, il Garante privacy ha effettuato un’attività ispettiva ed ha scoperto che la società sottoponeva alla clientela un modello di richiesta di consenso unico sia per la fornitura del servizio richiesto (consenso, oltretutto, non necessario quando si tratta di obblighi contrattuali), sia in ordine a diversi scopi per i quali i dati venivano raccolti e utilizzati: analisi delle abitudini e scelte di consumo; invio ai clienti di informazioni commerciali; ricerche di mercato (realizzate anche con la collaborazione di terzi attraverso lettere, telefono, e-mail); attività dirette di vendita o di collocamento di prodotti e servizi.
La normativa sulla protezione dei dati personali stabilisce, invece, che la richiesta di consenso non può avere carattere generico: gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei propri dati personali, manifestando un consenso specifico per ciascuna distinta finalità perseguita dal titolare.
Il Garante privacy ha dunque vietato l’ulteriore trattamento illecito dei dati, ferma restando la loro utilizzabilità per la fornitura dei servizi richiesti. Alla società, che ha provveduto tempestivamente, è stato inoltre imposto di riformulare il modello di informativa e di trasmetterne esemplare al Garante.
Segue il testo integrale della pronuncia dell’Autorità.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);
VISTO l’accertamento effettuato, nell’ambito dell’attività ispettiva di iniziativa curata dall’Ufficio del Garante, in data 23 settembre 2009 presso la sede legale di ASM Energia e Ambiente S.r.l. (di seguito, ASMEA) e il relativo verbale di operazioni compiute, volto a dare esecuzione alla richiesta di informazioni ex art. 157 del Codice, datata 23 giugno 2009;
RILEVATO che, dagli elementi emersi nel corso del predetto accertamento ispettivo, risulta che ASMEA effettua la raccolta, la conservazione e l’elaborazione dei dati personali dei clienti in relazione a diverse finalità;
RILEVATO che, dall’esame del modello di raccolta del consenso utilizzato dalla società e consegnato in copia in occasione della suddetta ispezione (allegato n. 5), viene richiesto il consenso rispetto ai trattamenti effettuati per adempiere alle obbligazioni contrattuali (punto n. 1);
VISTA la normativa in materia di protezione dei dati personali, la quale prevede che il titolare del trattamento potrebbe prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l’interessato (art. 24, comma 1, lett. b) del Codice);
RILEVATO che sul richiamato modello viene poi richiesto un unico consenso in relazione ai dati che possono essere utilizzati: per inviare al cliente le informazioni commerciali delle società del Gruppo A2A (al quale appartiene la stessa ASMEA); per effettuare analisi delle abitudini e scelte di consumo, ricerche di mercato (realizzate anche con la collaborazione di terzi) attraverso lettere, telefono, e-mail e altri sistemi di comunicazione; per lo svolgimento di attività finalizzate all’elaborazione di studi e ricerche di mercato; per la realizzazione di attività dirette di vendita o di collocamento di prodotti/servizi e per l’invio di informazioni commerciali anche informatiche, nonché per l’invio di materiale pubblicitario/informativo, anche da parte degli stessi terzi (punto n. 2);
VISTO l’art. 23, comma 3, del Codice, in forza del quale “il consenso è validamente prestato solo se è espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato”;
RILEVATO che nel modello utilizzato da ASMEA la formula di consenso è viceversa generica, comprendendo trattamenti per finalità (effettuare analisi delle abitudini e scelte di consumo, inviare informazioni commerciali) per le quali il consenso deve essere specificamente acquisito per legge;
CONSIDERATO che, come già rilevato da questa Autorità (cfr. Provv. 24 febbraio 2005, punto 7, doc. web n. 1103045; Provv. 12 ottobre 2005, doc. web n. 1179604; Provv 22 febbraio 2007, doc. web n. 1388590; Provv 5 marzo 2009, doc. web n. 1615731, in http://www.garanteprivacy.it), gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare;
RILEVATO che non risulta quindi conforme ai criteri di liceità e correttezza nel trattamento dei dati personali, nonché al principio di finalità la scelta di ASMEA di richiedere un unico consenso per finalità ulteriori e tra loro diverse, quali quelle di analisi delle abitudini e scelte di consumo e di invio di informazioni commerciali, di materiale pubblicitario informativo, anche da parte di terzi (art. 11, comma 1, lett. a) e b) e art. 23, comma 3, del Codice);
RILEVATA pertanto la necessità che ASMEA modifichi la modellistica utilizzata per acquisire il consenso, fornendo ai clienti la possibilità di prestare consensi differenziati in relazione alle distinte finalità sopra indicate;
RILEVATO che il trattamento di dati personali che non risulta effettuato in modo lecito da parte di ASMEA ha carattere sistematico;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d’ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali; considerato inoltre che il Garante, ai sensi dell’art. 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;
RILEVATA pertanto la necessità di adottare nei confronti di ASMEA un provvedimento di divieto del trattamento illecito di dati personali ai sensi dell’art. 154, comma 1, lett. d) del Codice correlato alla raccolta di dati personali della clientela in assenza di una chiara informativa e di richieste di consenso differenziato in relazione alle diverse finalità perseguite dalla società;
TENUTO CONTO che, ai sensi dell’art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell’art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;
CONSIDERATO che l’art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
TUTTO CIÒ PREMESSO IL GARANTE:
a) vieta a ASM Energia e Ambiente S.r.l., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l’ulteriore trattamento risultato illecito in atti, nonché di utilizzare le dichiarazioni di consenso al trattamento dei dati già rilasciate dagli interessati per finalità di analisi delle abitudini e scelte di consumo dei clienti e di comunicazione pubblicitaria o promozionale (art. 11, comma 2, del Codice), ferma restando l’utilizzabilità dei dati per finalità di fornitura dei servizi richiesti. Ciò, con effetto dalla data di notificazione del presente provvedimento presso la sede, residenza o domicilio risultanti dagli atti o comunque accertati dall’organo notificante;
b) prescrive alla predetta società, ai sensi dell’art. 154, comma 1, lett. c) del Codice, di adottare entro il giorno 10 febbraio 2010 le misure necessarie indicate nel presente provvedimento al fine di rendere il trattamento di dati personali conforme alle disposizioni vigenti e, in particolare, di:
1. modificare il modello di raccolta del consenso, fornendo ai clienti la possibilità di prestare consensi differenziati in relazione alle distinte finalità sopra indicate;
2. trasmettere al Garante entro il medesimo termine del 10 febbraio 2010 un esemplare della modellistica utilizzata per il rilascio del consenso, riformulata in conformità alle indicazioni fornite con il presente provvedimento.
Roma, 16 dicembre 2009
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Patroni Griffi
Fonte: Garante per la protezione dei dati personali.
