Il Garante della Privacy è di recente intervenuto su segnalazione di alcuni cittadini che, per il tramite dell’Ordine dei medici e odontoiatri della Provincia di Padova, lamentavano di essere stati destinatari di chiamate a carattere promozionale da parte di una clinica odontoiatrica, nel corso delle quali venivano invitati ad una prima visita gratuita per sé e i propri familiari (il provvedimento è il n. 268 del 15 giugno 2017). Il Garante, nel vietare l’ulteriore trattamento per finalità di marketing, si è altresì riservato di aprire un autonomo e distinto procedimento finalizzato alla contestazione delle violazioni amministrative derivanti dall’illecito trattamento effettuato.
I dati da un sito Web: ma il flag sul consenso non si poteva negare
Per quanto attiene in primis all’origine dei dati, in base alle informazioni inizialmente fornite dalla clinica, risultava che quest’ultima utilizzasse un sito Internet dedicato all’interno del quale gli utenti fornivano i propri dati personali (nome e/o cognome, indirizzo e-mail e numero di telefono), compilando distinte maschere (form), al fine di essere ricontattati per un appuntamento presso la struttura, o per l’invio di newsletter.
Dall’analisi del sito Internet emergeva altresì che gli interessati potevano appore un flag unicamente su una generica richiesta di consenso al trattamento dei dati personali, la cui mancata apposizione determinava come conseguenza l’impossibilità di inoltrare la richiesta di informazioni. Né, d’altro canto, gli utenti avevano la possibilità di negare il consenso al trattamento dei dati personali a fini di marketing.
Chi è il Titolare del Trattamento?
Inoltre, emergevano numerosi dubbi in tema di ruoli privacy. Ciò in quanto all’interno dell’informativa inizialmente fornita agli interessati veniva indicata la clinica come Titolare del trattamento e come soggetto nei cui confronti gli interessati avrebbero potuto esercitare i diritti ex art. 7 del Codice Privacy. Tuttavia, a seguito degli accertamenti dell’Autorità Garante, emergeva della documentazione dalla quale risultava che gli utenti avrebbero potuto inviare la relativa richiesta ad altra società con la quale la clinica aveva stipulato un contratto di servizi. Tra l’altro, le indagini del Garante Privacy rivelavano che l’oggetto sociale della società indicata come Titolare del trattamento all’interno dell’informativa consisteva nell’attività di marketing nel settore sanitario, attività svolta nell’esclusivo interesse dell’altra società con la quale era stato stipulato il contratto di servizi citato.
Nessuna verifica era poi stata effettuata dalla clinica in ordine all’iscrizione degli utenti contattati nel Registro Pubblico delle Opposizioni. In particolare, inizialmente la stessa dichiarava di aver effettuato attività di carattere promozionale nei confronti di numerazioni tratte da elenchi pubblici, ma, in un secondo momento, le dichiarazioni precedentemente rese venivano modificate. La clinica precisava infatti che alcuni file contenenti liste di numerazioni telefoniche le erano stati consegnati su supporti USB da altra società, sulla base di accordi contrattuali.
L’intervento del Garante Privacy
Il Garante Privacy, a seguito delle indagini effettuate, constatava in primis che le due società sopra citate dovevano ritenersi contitolari del trattamento per finalità di marketing che era stato posto in essere, contrariamente a quanto asserito e a quanto risultava dalla documentazione prodotta. Ciò in quanto tali soggetti, rispetto al trattamento effettuato, avevano adottato decisioni congiuntamente e avevano avuto accesso ai medesimi dati personali.
Tale situazione di contitolarità non era assolutamente ravvisabile dall’informativa presente sul sito web, la quale, tra l’altro, non menzionava affatto quello che sarebbe stato l’ambito di circolazione dei dati raccolti.
Profili di illiceità erano poi chiaramente ravvisabili rispetto al consenso così come richiesto. Veniva infatti raccolto un consenso unico in relazione a tutte le finalità indicate nell’informativa (e, dunque, anche per l’erogazione del servizio in senso stretto), e, d’altro canto, l’utente non aveva alcuna possibilità di negare il consenso all’invio di newsletter a contenuto promozionale, finalità specificamente menzionata all’interno dell’informativa. Tra l’altro, il consenso richiesto, oltre ad essere assolutamente generico, era anche preselezionato, e la mancata spunta della relativa casella determinava l’impossibilità di inviare richieste alla società.
Inoltre, per quanto attiene all’origine dei dati, a seguito dell’accesso ai sistemi informativi della clinica da parte del Garante, venivano rinvenuti numerosi file contenenti utenze telefoniche fisse e mobili utilizzate non soltanto per l’erogazione del servizio in senso stretto, ma anche per l’effettuazione di attività di telemarketing. La clinica, a quel punto, modificava le dichiarazioni precedentemente rese, riconoscendo che in realtà molte numerazioni le erano state consegnate su supporti USB da una società terza.
In sostanza, a seguito delle indagini effettuate, il Garante Privacy vietava l’ulteriore trattamento così come finora effettuato e imponeva da un lato l’adozione di misure tecnologiche che avrebbero permesso agli utenti di manifestare liberamente il consenso a fini di marketing, dall’altro la riformulazione dell’informativa con l’indicazione dell’ambito di circolazione dei dati personali e del rapporto di contitolarità tra le due società.
Nessuna sanzione veniva prescritta all’interno di tale provvedimento, riservandosi il Garante di contestare le relative violazioni amministrative in un autonomo e distinto procedimento.
Gli sviluppi in vista del Regolamento Europeo GDPR
Il provvedimento del Garante Privacy dello scorso 15 giugno interviene a distanza di circa quattro anni dal provvedimento del maggio 2013 in tema di marketing e dalle linee guida del luglio 2013 in tema di attività promozionale e contrasto allo spam. Quest’ultime, in particolare, avevano precisato come il consenso per l’invio di comunicazioni a carattere promozionale deve poter essere espresso liberamente, e ciò avviene soltanto a condizione che l’utente non sia obbligato ad apporlo per usufruire del servizio richiesto e che al tempo stesso la relativa casella non risulti precompilata, come al contrario verificatosi nel caso di recente esaminato dal Garante.
Il provvedimento sul marketing e le linee guida sullo spam fissano ormai da anni dei principi base che chiunque effettui trattamenti per finalità di carattere promozionale è tenuto a rispettare. Tali regole non verranno meno con la definitiva applicabilità, a partire dal 25 maggio 2018, del nuovo Regolamento Europeo 2016/679, il GDPR, il quale stabilisce che i provvedimenti adottati in precedenza dall’Autorità Garante non verranno automaticamente abrogati o modificati, salvo naturalmente un eventuale intervento del Garante Privacy. Quest’ultimo potrebbe infatti decidere di intervenire ad esempio al fine di rendere maggiormente coerente la legislazione nazionale con le disposizioni dettate dal nuovo Regolamento.
*Gabriele Faggioli, giurista, CEO di P4I – Partners4Innovation, Presidente Clusit e Adjunct professor MIP – Politecnico di Milano
*Chiara Giorgini, Legal Consultant P4I