Con provvedimento del 12 settembre 2024 [n. 10076504] l’Autorità Garante ha sanzionato il gestore di una importante piattaforma televisiva per aver agito in spregio a quanto disposto dal Regolamento UE 2016/679 (“GDPR”) e dal D. Lgs. 196/2003 (c.d. Codice Privacy); l’Autorità ha contestato alla società di aver trattato dati personali in mancanza di un’idonea base giuridica e di non aver fornito agli interessati un’adeguata informativa.
In particolare, l’Autorità ha riscontrato le seguenti violazioni.
In primo luogo, la società risulta aver contattato numerazioni telefoniche iscritte al registro delle opposizioni per lo svolgimento di attività di telemarketing; ciò ha determinato la violazione dell’art. 130, comma 3 bis, del Codice Privacy (che vieta espressamente tale comportamento) e la violazione dell’art. 5, par. 1, let. a) e dell’art. 6, par. 1, let. a) del Regolamento UE 2016/679, relativi al principio di liceità e alla necessità di un’idonea base giuridica del trattamento (costituita dal consenso per quanto riguarda il trattamento di dati personali per finalità di marketing).
Secondariamente, l’Autorità ha rilevato l’invio di messaggi promozionali in mancanza di un espresso consenso al trattamento dei dati personali per finalità commerciali, con conseguente violazione dell’art. 6, par. 1, let. a) del GDPR.
Inoltre, l’Autorità ha rilevato l’illegittimo trattamento di dati personali da parte di terzi fornitori di servizi, nominati Responsabili del trattamento. Tali fornitori avevano curato l’invio di messaggi contenenti la richiesta agli utenti di ricontatto telefonico se interessati ad offerte della società.
Con riguardo a tali trattamenti, secondo l’Autorità, il titolare avrebbe dovuto controllare tutti gli “anelli” della catena del trattamento, sin dalla prima fase della campagna promozionale. In particolare, l’Autorità ha rilevato la mancata dimostrazione dell’acquisizione di un idoneo consenso al trattamento dei dati personali, da parte dei terzi fornitori Responsabili del trattamento. Ed invero, i file Excel prodotti dal titolare riportanti i dettagli degli sms inviati e dei consensi asseritamente rilasciati dagli interessati difettavano del requisito di immodificabilità e non risultavano per questo motivo idonei a dimostrare la volontà degli interessati. Sul punto il Garante ha in più occasioni sottolineato come la sola indicazione dell’indirizzo IP, abbinato alla data e all’ora di registrazione dell’utente al sito internet, non costituisca alcuna prova dell’espressione di una volontà inequivocabile degli interessati; ciò soprattutto in assenza di ulteriori riscontri probatori che consentano di comprovare la valorizzazione positiva del consenso. Infatti, tutti i file Excel nei quali sarebbero stati registrati i dettagli degli asseriti consensi rilasciati dagli interessati sono risultati modificabili e, in quanto tali, inidonei a comprovare, in modo inequivocabile, la volontà espressa dai medesimi in relazione al trattamento dei loro dati personali. Per quanto riguarda il requisito dell’immodificabilità, elemento essenziale per attestare pienamente l’espressione del consenso degli interessati, l’Autorità ha richiamato le disposizioni, applicabili anche al settore privato, contenute nel Codice dell’Amministrazione Digitale (CAD-D.Lgs. 82/2005) come integrate dalle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” adottate dall’Agid nel maggio 2021 (https://www.agid.gov.it/sites/agid/files/2024-05/linee_guida_sul_documento_informatico.pdf) in base alle quali “le caratteristiche di immodificabilità e di integrità sono determinate da una o più delle seguenti operazioni”, tra cui la “registrazione nei log di sistema dell’esito dell’operazione di formazione del documento informatico, compresa l’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema; [nonché] produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione” (v. punto 2.1.1. delle citate Linee guida – “Formazione del documento informatico”). Pertanto l’Autorità, rilevato che la documentazione prodotta dal titolare non atteneva a record direttamente estratti dai sistemi informatici aziendali ma consisteva in una mera trasposizione in formato Excel dei dati ivi contenuti, ha ritenuto che tale documentazione non potesse essere valutata sul piano probatorio in quanto priva delle caratteristiche di oggettività, integrità e immodificabilità e, di conseguenza, ha riscontrato la mancanza di un’idonea base giuridica del trattamento.
Da ultimo, con riferimento al servizio di ricontatto fornito attraverso un comparatore, l’Autorità ha rilevato come l’informativa fornita agli interessati al momento della compilazione del form online per ottenere la comparazione delle offerte risultasse inidonea, in quanto indicava un’erronea base giuridica del trattamento; in particolare, l’informativa dichiarava che i dati personali inseriti nel form avrebbe potuto essere utilizzati per l’invio di comunicazioni di marketing sulla base del legittimo interesse della società, mentre l’attività promozionale non poteva che svolgersi sulla base del consenso degli interessati.
In considerazione delle violazioni descritte e tenuto conto della gravità delle stesse, riferite a condotte di sistema in quanto radicate nella procedura societaria, l’Autorità garante ha applicato al Titolare la sanzione amministrativa pecuniaria di euro 842.062,00 ed ha disposto la pubblicazione del provvedimento nel sito dell’Autorità.
