10 Mar Il Garante vieta lo spam sulle PEC dei professionisti
Il Garante della Privacy, con il provvedimento pubblicato il 28 febbraio scorso, ha imposto ad una Srl di cessare l’invio di pubblicità promozionale non richiesta alle caselle PEC di liberi professionisti.
Dalle indagini svolte dal Garante con l’ausilio del Nucleo speciale privacy della GdF risultava:
a) che la società interessata era stata nominata responsabile del trattamento da un’associazione omonima e collegata alla stessa, che agiva invece quale titolare del trattamento;
b) che gli indirizzi venivano inoltrati ad un soggetto giuridico terzo nominato incaricato del trattamento;
c) che la società continuava ad inoltrare tali promozioni anche dopo che gli interessati avevano esercitato il proprio diritto di opposizione al trattamento.
Nelle sue note difensive, la Srl dichiarava di aver rilevato gli indirizzi pec dal registro pubblico INI-Pec, chiarendo che l’attività svolta non aveva contenuto promozionale, né commerciale, in quando essa, mediante le e-mail, informava su proprie attività editoriali e formative e su un bando per la selezione di professionisti nel settore della brand reputation, attività basate su brevi patrocini e/o riconoscimenti di crediti formativi professionali obbligatori concessi dai Consigli Nazionali degli Ordini Professionali (avvocati, commercialisti e esperti contabili, notai e consulenti del lavoro) e che proprio tali patrocini testimonierebbero il carattere sociale delle comunicazioni in questione; per tutte queste ragioni la stessa riteneva non potersi applicare nei suoi confronti l’art. 130 del Codice, dichiarando che, in ogni caso, i diritti di opposizione degli interessati erano stati rispettati laddove esercitati con la cancellazione degli indirizzi pec.
Il Garante nel suo provvedimento tuttavia ha rilevato innanzitutto che tra i due soggetti, associazione e società, deve ritenersi sussistente un rapporto di contitolarità del trattamento in ragione del fatto che entrambe condividevano finalità, modalità del trattamento e che il rappresentante legale fosse la stessa persona, che sul sito web erano menzionati entrambi i soggetti e che il marchio nelle comunicazioni era il medesimo sia per l’associazione che per la società. Inoltre, l’autorità ha chiarito che le email inviate avevano contenuto promozionale, in quanto tese a presentare sì un bando, ma previa partecipazione ad un evento formativo a pagamento che avrebbe rilasciato un attestato, per questo motivo il trattamento risulta illecito poiché «senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell’indice nazionale degli indirizzi pec», non essendo sufficiente ad eliminare il carattere di illiceità al trattamento, il fatto che le email contenessero un link per la cancellazione alla mailing list, in quanto il consenso deve essere acquisito prima dell’inoltro della comunicazione. (cfr. Linee Guida del 4 luglio 2013 in materia di attività promozionale e contrasto allo spam punto 2.5). Limitazione che viene espressamente riportata peraltro anche nelle note legali del sito dell’INI-PEC.
Chi contravviene a tale dovere, viola quindi l’art. 130, co. 1 e 2, del d.lgs. n. 196/2003 e le “Linee guida” innanzi citate.
Il Garante ricorda poi la disposizione contenuta nell’art. 16, comma 10, d.l. n. 185/2008 (convertito, con modificazioni, in legge 28 gennaio 2009, n. 2), in base alla quale, «l’estrazione di elenchi di indirizzi è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza», con conseguente esclusione, pertanto, della liceità della medesima operazione da parte di soggetti privati, precisando che, nonostante gli indirizzi siano rilevati da pubblici registri, è necessario il previo consenso espresso dell’interessato per l’inoltro di pubblicità a fini promozionali, in quanto l’agevole reperibilità degli stessi non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione.
Il soggetto giuridico terzo cui venivano comunicati i dati, anche qui senza il previo consenso espresso degli interessati, era stato nominato incaricato del trattamento e non responsabile, ma le comunicazioni di dati a soggetti terzi, senza il consenso degli interessati possono essere effettuate solo se il terzo è nominato responsabile del trattamento e non incaricato – potendo ricoprire tale ruolo solo la persona fisica che opera sotto la diretta autorità del titolare o responsabile del trattamento (o diversamente solo se sia stato espresso il consenso dell’interessato prima della comunicazione).
Inibito quindi alla società e all’associazione l’utilizzo degli indirizzi e imposta la cancellazione dei dati raccolti.