Non è la prima volta che il Garante interviene per un uso troppo “disinvolto” di social network da parte di operatori commerciali, pur essendo datate 2013 le proprie linee guida contro lo spam, tuttora valide. La prassi, facilmente riscontrabile, di utenti LinkedIn che si auto-autorizzano al libero contatto per scopi di offerta commerciale è invalsa da tempo, e purtroppo sotto gli occhi di tutti gli iscritti.
Questa volta, sanzionando una piccola agenzia immobiliare che ha liberamente contattato un’utente tramite LinkedIn per comunicare un’offerta immobiliare specifica, senza alcuna conoscenza precedente né consenso, il Garante per la protezione dei dati personali ha riepilogato alcuni concetti chiave, esplicitandoli in maniera molto chiara e utile – temiamo non per l’ultima volta.
Un breve esame del provvedimento può essere un’occasione per ricordare meglio alcuni concetti e prassi da evitare, con precisi limiti e fondamenti, oltre a testimoniare l’importanza del comportamento da adottare in sede difensiva presso l’Autorità.
Indice degli argomenti
Uso di LinkedIn per contatti commerciali: il caso
Una piccola società immobiliare aveva contattato via LinkedIn – meglio, attraverso il servizio di messaggistica diretta del noto social – una signora per proporle servizi immobiliari, in riferimento ad uno specifico immobile di proprietà della stessa. L’utente si era dunque lamentata verso il Garante, per la mancanza di un supporto giuridico a fronte di tale tentativo di contatto. Peraltro utilizzando dati personali tratti dai registri pubblici catastali.
A seguito di ciò il Garante ha ricevuto, dopo diversi solleciti, le argomentazioni a sostegno del punto di vista dell’agenzia immobiliare in questione:
- la creazione di un profilo Linkedin – da parte della signora – avrebbe comportato una indiscriminata autorizzazione erga omnes ad essere contattati da altri utenti Linkedin; pertanto l’agenzia avrebbe contattato l’utente dopo aver riscontrato con certezza – tramite i registri catastali, deputati a tale fine – che fosse la proprietaria dell’immobile di interesse;
- tale profilo social sarebbe stato impostato in maniera da ricevere messaggi da qualsiasi utente Linkedin, mentre la conversazione avvenuta tra le parti (funzione di messaggistica) comunque era visibile solo alla destinataria e al collaboratore (autorizzato interno) dell’agenzia, essendo un messaggio one-to-one riservato tra utenti Linkedin; la società giustificava la sua condotta in quanto “libera espressione” di una propria opportunità lavorativa, ancor più per il carattere riservato della conversazione.
Il ragionamento giuridico del Garante
Il Garante ha “smontato” ognuna delle considerazioni della società reclamata, non ritenendovi sussistere alcun fondamento. La pregnanza del ragionamento è riassumibile in questi concetti:
- l’iscrizione di un utente a una piattaforma social network, come la signora del caso in esame, è soggetta alle condizioni di contratto della stessa; quindi la comprensione delle finalità per il trattamento dei dati degli iscritti e le loro legittime aspettative (sia sul servizio reso dal social network che di riflesso sul comportamento degli altri utenti), sono legati all’oggetto del contratto di servizio; nel caso in esame, il Garante afferma che LinkedIn “ha come finalità quella di mettere in contatto individui che condividono gli stessi interessi professionali, per favorire lo scambio di conoscenze o le opportunità lavorative”, non certo quella di “utilizzare la piattaforma per inviare messaggi ad altri utenti con lo scopo di vendere prodotti o servizi anche se in ciò consiste, evidentemente, la propria attività lavorativa”;
- più precisamente, anche se l’interessata aveva il proprio profilo come liberamente accessibile, “non ha alcuna rilevanza il fatto che il profilo di un utente sia aperto o meno alla ricezione di contatti da parte di altri utenti del network perché ciò che conta è la finalità – in questo caso promozionale – per cui il messaggio è inviato”; ragion per cui si deve filtrare la liceità di una condotta marketing attraverso le maglie del contratto di servizio del sito, quale perimetro di possibilità ammissibili o meno; come ben delineato dal Garante, lecito non è stato il contatto, tant’è che tentare di giustificarsi affermando che il messaggio è rimasto privato non ha rilevanza, se non nel calibrare la portata della violazione (naturalmente sarebbe stato peggio se vi fosse stato un messaggio pubblico, visibile da terzi);
- rintuzzando anche la speciosità della società nel richiamare le finalità dei registri immobiliari, il Garante conferma che ne è sicuramente consentita la verifica della titolarità di un immobile, come previsto per legge – invece la condotta sicuramente illecita ha riguardato il successivo utilizzo dei dati a fini promozionali, estraneo alla disciplina dei registri pubblici;
- si conclude che la condotta della società reclamata non è stata supportata da nessuna delle basi giuridiche di cui all’art. 6 GDPR, tantomeno quanto a rapporti contrattuali (vedi quanto detto sul contratto di LinkedIn, oltretutto non certo intercorso tra l’utente e l’agenzia) o precontrattuali (avrebbe dovuto essere l’interessata ad avviare il contatto) oppure su base consensuale (ovviamente mancante il consenso stesso, mai nemmeno richiesto dalla società);
- interessante anche l’osservazione del Garante sulla condotta della società come emersa dopo le prime contestazioni: in sede difensiva ha sempre ribadito la correttezza della propria prassi, probabilmente usuale, svolta tramite un proprio collaboratore, in assenza di una base giuridica corretta – ragion per cui il Garante ne ha desunto l’inadeguatezza del livello di misure di sicurezza organizzative (circa le istruzioni fornite ai propri autorizzati); va da sé che formare e fornire direttive ai propri collaboratori in violazione delle normative comporta necessariamente un illecito, non potrebbe essere diversamente.
Annotazioni utili su come comportarsi in sede difensiva
In sede di quantificazione della sanzione, il Garante ha comunque bilanciato vari aspetti inerenti alla società (assenza di precedenti, entità del pregiudizio limitata, portata limitata della società quale “microimpresa” e dunque assai colpita dalle condizioni economiche nel mercato “pandemizzato”) e ha infine comminato solo un ammonimento, privo di sanzioni pecuniarie. Ciò per la condotta esaminata sopra, in punta di diritto.
Ma la società è stata autrice pure di un altro comportamento biasimevole: durante l’istruttoria la società “non ha fornito riscontro alle reiterate richieste di informazioni del Garante, rendendo necessaria la notifica tramite il Nucleo speciale privacy della Guardia di Finanza. Nel corso delle successive interlocuzioni (due memorie difensive e un’audizione), la Società […] ha espletato la propria difesa nel merito senza mai giustificare il proprio silenzio, pur essendo questo stato espressamente contestato dal Garante con il menzionato atto di avvio del procedimento”.
Comportamento ritenuto non collaborativo, poiché “il reiterato mancato riscontro ha comportato un appesantimento dell’attività istruttoria con la conseguente dilatazione dei tempi di definizione del procedimento e con aggravio di costi connessi alla necessità di inviare i militari della Guardia di Finanza per la notifica dell’atto […] non ha giustificato in alcun modo il proprio silenzio limitandosi a scusarsi per il ritardo solo dopo aver ricevuto la notifica dell’atto da parte della Guardia di Finanza e senza tuttavia fornire alcuna motivazione in merito alle mancate risposte”.
E solo per questa condotta il Garante ha comminato una sanzione pecuniaria di 5.000 euro. Chi ha orecchie per intendere intenda: a fronte di una situazione come quella sopra descritta, pare arrogante e ingiustificato non collaborare con l’autorità – che comunque avrebbe e ha proceduto con i propri accertamenti e giudizi –, pure prescindendo da quanto di giusto o sbagliato possa essere stato contestato.
