Con il provvedimento del 12 giugno 2019 il nostro Garante ha precisato che per poter partecipare a programmi di raccolte punti, il cliente non deve essere obbligato ad esprimere (anche) il consenso a ricevere pubblicità.
Con questo recente provvedimento, il Garante ha vietato ad una nota marca di pannolini per bambini di svolgere un trattamento dei dati dei clienti ulteriore (con finalità diversa) rispetto a quello originario di raccolta dei nominativi per partecipare a programmi di raccolte punti.
In seguito ad una segnalazione, il Nucleo speciale privacy della Guardia di Finanza aveva, infatti, accertato che la società inviava newsletter promozionali a circa un milione di indirizzi e-mail raccolti e utilizzati senza un valido consenso: “Dal gennaio 2017 ad oggi, per il brand Lines, sono state inviate 8 diverse newsletter all’intera popolazione presente nel database … per un complessivo invio, in media, di circa duecentomila e-mail promozionali al mese“; inoltre, “dal gennaio 2017 ad oggi, per il brand Pampers, sono state effettuate 11 campagne diverse di newsletter a coloro che hanno manifestato il relativo consenso alla ricezione di campagne promozionali … per un complessivo invio di circa un milione di e-mail promozionali sia nel 2017 sia nel 2018″.
Nei fatti, accadeva che, ai clienti interessati alla raccolta punti, non veniva data la possibilità di esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere ma, per poter completare la registrazione e aderire al programma di fidelizzazione, i clienti erano obbligati a rilasciare due consensi generici per l’invio di materiale pubblicitario, uno per la società e uno per i marchi collegati.
La decisione del Garante in merito alle corrette modalità di gestione delle raccolte punti, si basa sui principi espressi nei seguenti provvedimenti:
- provvedimento del Garante a carattere generale del 4 luglio 2013, “Linee guida in materia di attività promozionale e contrasto allo spam” (doc. web n. 2542348);
- provvedimento del Garante a carattere generale del 29 maggio 2003, “Spamming. Regole per un corretto uso dei sistemi automatizzati e l’invio di comunicazioni elettroniche” (doc. web n. 29840);
- provvedimento del Garante a carattere generale del 19 gennaio 2011 recante “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni” (doc. web n. 1784528);
- provvedimento del Garante a carattere generale del 15 giugno 2011, riguardante la “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali” (doc. web n. 1821257)
- pareri del WP29 n. 4/1997, n. 5/2004, n. 5/2009, n. 1/2010, n. 4/2010, n. 15/2011 e la Raccomandazione n. 2/2001 del medesimo WP29 su determinati requisiti minimi per la raccolta on-line di dati personali nell’Unione europea.
Il Garante non ha fatto applicazione delle norme del GDPR perché, all’epoca, non ancora vigenti ma si è basato sul nostro “vecchio” Codice Privacy (D.lgs. n. 196/2003) nel testo, cioè, vigente prima delle modifiche apportate dal D. lgs. n. 101/2018, ravvisando nella le seguenti criticità:
- il primo consenso richiesto per finalità promozionali, con l’invio di newsletter, analisi statistiche, sondaggi d’opinione, è risultato accomunare indistintamente più finalità diverse tra loro, impedendo all’interessato di poter distinguere fra di esse e di fornire il proprio consenso libero e selettivo alle raccolte punti ed all’invio di comunicazioni di carattere commerciale;
- il secondo consenso, cioè quello richiesto agli interessati con riguardo ad altri marchi del gruppo è risultato affetto dal medesimo vizio del primo e, in aggiunta, veniva anche richiesto, come condizione imprescindibile – e, quindi, da selezionare obbligatoriamente – per poter procedere con la registrazione al sito web e, quindi, poter partecipare ai programmi di raccolte punti.
Il Garante ha, pertanto, censurato tale modalità di acquisizione dei consensi degli interessati osservando che “la capacità di autodeterminazione degli interessati (e quindi la libertà del consenso che questi sono chiamati a manifestare) non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento, né quando si assoggetta, la fruizione di un servizio, qual è il programma di raccolta punti ‒ per le quali peraltro la legge comunque non richiede l’acquisizione di consenso (cfr. art. 24, comma 1, lett. b), del Codice, il cui disposto, ad oggi abrogato, può ritenersi sostanzialmente confermato dall’art. 6, par. 1, lett b), del Regolamento UE) ‒ alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse, qual è quella promozionale o quella statistica. Ciò, con la conseguenza che i dati raccolti dal titolare per l’erogazione del servizio vengono di fatto piegati ad una finalità diversa da quella che ne ha giustificato la raccolta, in violazione, dunque – oltre che del principio del consenso di cui all’art. 23, commi 1 e 3, del Codice – anche dei principi di correttezza e finalità del trattamento dei dati personali già sanciti dall’art. 11, comma 1, lett. a) e b), del Codice e ribaditi dall’ art. 5, par. 1, lett. a) del Regolamento UE“.
Il principio espresso dal Garante è certamente un caposaldo della materia ed oggi è espresso, in modo chiaro, all’art. 7 del GDPR secondo il quale il consenso si intende liberamente prestato solo quando la prestazione del servizio sottesa alla richiesta di consenso non è condizionata dal rilascio di consensi al trattamento di dati personali non necessari all’esecuzione della stessa, dovendo rispettare il principio di specificità, inequivocabilità e granularità degli stessi.