L’invio di e-mail pubblicitarie senza il consenso dei destinatari rappresenta un illecito alla luce della normativa sulla protezione dei dati personali. E la presenza di un link per disiscriversi dall’elenco di distribuzione non basta a renderlo lecito.
È quanto sancito dal Garante privacy che, con provvedimento del 17 maggio 2023, ha sanzionato una società per aver inviato numerose e-mail promozionali, indirizzate a diverse categorie di destinatari, senza il consenso di questi ultimi.
Indice degli argomenti
Illecite le e-mail pubblicitarie senza consenso: il caso
La vicenda è sorta a seguito delle segnalazioni effettuate da un utente, il quale lamentava la ricezione di e-mail indesiderate, anche dopo essersi opposto a tali invii e non aver avuto alcun riscontro da parte della società che queste e-mail le ha inviate.
Sulla base di quanto riportato dal Garante, la società si sarebbe difesa dichiarando di aver estratto i nominativi da diversi elenchi pubblici e che l’invio delle e-mail era diretto, oltre che al reclamante, anche ad altri professionisti.
Il Garante ha sottolineato come l’invio di comunicazioni con modalità automatizzate sia consentito unicamente sulla base del consenso prestato dal contraente o utente.
L’unica deroga ammessa riguarda il rilascio dell’indirizzo e-mail da parte dell’interessato nel contesto di una vendita di beni o servizi analoghi.
Nel caso di specie, la deroga non sarebbe risultata applicabile, in quanto le persone raggiunte dall’attività di marketing non avevano rilasciato il proprio indirizzo nell’ambito di un rapporto contrattuale pregresso, non avendo alcuna conoscenza né del titolare né del trattamento.
Durante l’attività istruttoria condotta dalle autorità è emerso che la società, in una pec datata 8 novembre 2022, aveva sottolineato come in calce alle e-mail spedite fosse disponibile un link per la disiscrizione; tuttavia, il reclamante non vi si sarebbe mai avvalso.
In merito a ciò, il Garante ha ribadito come la presenza di un link per disiscriversi non abbia alcuna rilevanza nel caso in questione, poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del danno, è lo stesso invio dell’e-mail ad essere illecito.
A causa delle e-mail inviate dalla società al reclamante senza il suo consenso, il Garante ha ritenuto integrata la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice della Privacy, i quali disciplinano rispettivamente la liceità del trattamento dei dati personali e le comunicazioni indesiderate.
Alla società è stato, perciò, imputato il trattamento illecito dei dati degli utenti in quanto l’interessato non ha espresso il consenso allo stesso, per una o più specifiche finalità.
A seguito delle continue e-mail inviate, nonostante la richiesta di opposizione manifestata dal reclamante via PEC, è stata integrata la violazione di cui agli artt. 5 par. 1, lett. a), 17 e 21 del Regolamento, riguardanti i “Principi applicabili al trattamento di dati personali”, il “Diritto all’oblio” e il “Diritto all’opposizione”.
Infine, in considerazione dell’illiceità della condotta, il GPDP ha ritenuto ricorressero i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento. Tale sanzione ammonta a 10.000 euro.
La sanzione per l’invio illecito di e-mail promozionali
Tenuto conto dell’ampia portata dei trattamenti e del fatto che l’azienda non ha mai dichiarato di aver interrotto la condotta limitandosi a cancellare i dati del reclamante, il Garante della Privacy ha imposto alla società il divieto di trattare per finalità promozionali tutti i dati inseriti nel data base oggetto di istruttoria per i quali non sia in grado di dimostrare l’acquisizione di un idoneo consenso.
In conseguenza di tale divieto, ha poi ordinato alla società di provvedere alla cancellazione dei dati in questione, ad eccezione di quelli necessari ad adempiere ad un obbligo di legge o per la difesa di un diritto in sede giudiziaria.
Il Garante si era già espresso in tal senso in passato, sottolineando come la presenza di un indirizzo e-mail su internet non implichi la possibilità di utilizzarlo liberamente per qualsivoglia scopo, in primis in ragione della necessità di consenso da parte del destinatario.
La violazione di tali normative è sanzionabile, come visto nel caso di cui sopra, sia sotto il profilo amministrativo che sotto quello penale.
In tale contesto, assumono rilevanza anche le condotte relative al trattamento dei dati senza consenso e al trasferimento illecito di dati, il quale può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione e perdita di riservatezza dei dati personali protetti da segreto professionale.
Sulla base di quanto affermato dal Garante, il trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, ovvero il General Data Protection Regulation (GDPR).
I principi fondamentali riferiscono quindi alla liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato; alla limitazione della finalità del trattamento; alla minimizzazione dei dati: ossia, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento; all’esattezza e aggiornamento degli stessi; alla limitazione della conservazione e, infine, all’integrità e riservatezza di tali dati.
