In un arco temporale ristretto, ottobre 2016, sono pervenute segnalazioni nelle quali gli interessati, tutti professionisti, hanno lamentato l’invio, da parte di una Società privata di comunicazioni PEC indesiderate a contenuto promozionale, anche dopo l’esercizio da parte degli interessati dei diritti di cui agli artt. 7 ss. del Codice, inclusa l’opposizione al trattamento dei suoi dati personali. Le comunicazioni in parola hanno avuto ad oggetto:
a. la notizia della pubblicazione di un bando di selezione relativo alla figura professionale, ivi denominata “consulente reputazionale”;
b. l’invito a partecipare a un webinar gratuito sui contenuti specifici del suddetto bando ;
c. la diffusione di articoli “sulla carta stampata, TV e Radio” relativi a Mevaluate, nonché della trattazione, nel corso di una nota trasmissione televisiva, del tema della cd. “reputation”, con specifico riferimento alla medesima, unitamente al contestuale riferimento al bando in questione.
La società si è difesa sostenendo di aver reperito tutti gli indirizzi tramite INI-PEC e che l’attività svolta non avrebbe avuto contenuto promozionale e alla stessa non sarebbe stato applicabile quindi l’art. 130 del Codice.
Secondo il Garante le modalità utilizzate per raccogliere i dati personali degli interessati, per il tramite di soggetti terzi, si pongono in violazione dei principi di liceità e correttezza (art. 11, comma 1, lett. a), del Codice) nonché di finalità (art. 11, comma 1, lett. b), del Codice), con conseguente illiceità del trattamento effettuato. Sono inoltre contrarie alle norme di seguito elencate:
a. art. 6-bis, comma 1, d.lgs. n. 82/2005 (Codice dell’amministrazione digitale, c.d. “CAD”), introdotto dall’art. 5, comma 3, d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 22, che individua la finalità del registro pubblico INI-PEC (ora, a seguito del citato d.lgs. n. 217/2017, “Indice nazionale dei domicili digitali”), ossia quella di «favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica». Tale finalità è espressamente tenuta in considerazione nelle citate Linee Guida del 4 luglio 2013 in materia di attività promozionale e contrasto allo spam, nelle quali il Garante ha precisato che «senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell'”indice nazionale degli indirizzi pec» (cfr. punto 2.5 Linee Guida). Limitazione espressa che, peraltro, è evidenziata anche alla pagina web https://www.inipec.gov.it/note-legali) secondo cui: «L’utilizzo dei dati acquisiti tramite accesso all’INI-PEC deve sempre avvenire nel rispetto della normativa vigente in materia di trattamento dei dati personali (d.lgs. n. 196/2003 e s.m.i.). In particolare, il Garante ricorda che senza il preventivo consenso dei diretti interessati non è lecito utilizzare gli indirizzi PEC contenuti nell’indice ai fini dell’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (secondo quanto stabilito dall’art. 130, co. 1 e 2, del d.lgs. n. 196/2003 e dal Provvedimento del Garante per la protezione dei dati personali “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013 pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013)».
b. art. 16, comma 10, d.l. n. 185/2008 (convertito, con modificazioni, in legge 28 gennaio 2009, n. 2), in base al quale, mentre «La consultazione per via telematica dei singoli indirizzi di posta elettronica certificata […] nel registro delle imprese o negli albi o elenchi costituiti ai sensi del presente articolo avviene liberamente e senza oneri», «l’estrazione di elenchi di indirizzi è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza», con conseguente esclusione, pertanto, della liceità della medesima operazione da parte di soggetti privati.
In ragione di tali considerazioni, deve quindi ritenersi che, per ciò solo, i dati trattati dalla Società e dall’Associazione non potessero essere utilizzati (cfr. art. 11, comma 2, del Codice) e se ne debba quindi vietare l’ulteriore utilizzo. A ciò si aggiunga che rispetto all’invio delle comunicazioni elettroniche in questione, considerato il loro contenuto promozionale (cfr. punto 5.1.a), , l’Associazione e la Società, in qualità di co-titolari del trattamento, avrebbero dovuto acquisire il consenso informato degli interessati ai sensi degli artt. 13, commi 1 e 4, 130, commi 1 e 2, e 23 del Codice (v. pure Linee guida in materia di spam del 4 luglio 2013, cit., in particolare punto 2.6). Nè la presenza di un link per la cancellazione dalla mailing list fa venire meno l’illiceità del trattamento.
RIPORTIAMO DI SEGUITO L’INTERO PROVVEDIMENTO
Registro dei provvedimenti
n. 52 del 1° febbraio 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”);
VISTI le “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348) nonché il provvedimento generale del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale (doc. web n. 29840);
VISTE le segnalazioni formulate ai sensi dell’art. 141, comma 1, lett. b), del Codice relative alla ricezione, da parte di Mevaluate Italia s.r.l., di email a contenuto promozionale agli indirizzi di posta certificata dei segnalanti, signori XX, WW, YY, HH, JJ, KK, ZZ, WY, YH, HJ, JK, KZ, ZX, XW, WH, YJ, ZK, peraltro, in relazione a quest’ultimo, anche in tempi successivi rispetto all’esercizio del diritto di opposizione esercitato ai sensi degli artt. 7 ss. del Codice;
VISTO il riscontro fornito il 10 ottobre 2016 alla richiesta di informazioni formulata nei confronti della medesima Società nonché gli esiti delle verifiche effettuate dal personale dell’Autorità, con l’ausilio del Nucleo Speciale Privacy della Guardia di finanza, presso le sede legale della menzionata Società e dell’Associazione Mevaluate onlus, nelle giornate del 3, 4 e 5 luglio 2017;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1. In un arco temporale ristretto, riferito al mese di ottobre 2016, sono pervenute le sopra menzionate segnalazioni nelle quali gli interessati, tutti professionisti, hanno lamentato l’invio, da parte di Mevaluate Italia s.r.l. (di seguito indicata come “Società”), di comunicazioni PEC indesiderate a contenuto promozionale; nel caso di ZK, peraltro, dette comunicazioni risultano inviate anche dopo l’esercizio da parte dell’interessato dei diritti di cui agli artt. 7 ss. del Codice, inclusa l’opposizione al trattamento dei suoi dati personali. Le comunicazioni in parola hanno avuto ad oggetto:
a. la notizia della pubblicazione di un bando di selezione relativo alla figura professionale, ivi denominata “consulente reputazionale” (cfr. mail Mevaluate del 22 settembre 2016, in atti);
b. l’invito a partecipare a un webinar gratuito sui contenuti specifici del suddetto bando (cfr. mail Mevaluate dell’11 ottobre 2016, in atti);
c. la diffusione di articoli “sulla carta stampata, TV e Radio” relativi a Mevaluate, nonché della trattazione, nel corso di una nota trasmissione televisiva, del tema della cd. “reputation”, con specifico riferimento alla medesima, unitamente al contestuale riferimento al bando in questione (cfr. mail Mevaluate del 3, 17 e 18 ottobre 2016, in atti).
2.1. Con riguardo a una delle menzionate segnalazioni, la Società, nel riscontrare una prima richiesta di informazioni dell’Ufficio rispetto alla vicenda qui considerata, con nota del 18 ottobre 2016 ha dichiarato:
a. di aver reperito l’indirizzo di posta certificata del segnalante dal registro pubblico INI-PEC, senza però esplicitare le concrete modalità di estrazione dei dati in questione;
b. che l’attività svolta non avrebbe avuto contenuto promozionale e alla stessa non sarebbe stato applicabile quindi l’art. 130 del Codice;
c. che la comunicazione sarebbe stata frutto di una previa attività svolta con i Consigli nazionali degli ordini dei professionisti destinatari del bando oggetto di promozione, evidenziando altresì che «l’Associazione Mevaluate Onlus (di seguito indicata come “Associazione”) ed il suo braccio operativo Mevaluate Italia s.r.l. hanno ottenuto […] riconoscimenti» e patrocini di enti pubblici.
La Società ha altresì rappresentato che:
d. l’invio delle PEC è avvenuto per il tramite di un soggetto terzo, che non è stato designato responsabile del trattamento dalla Società, quest’ultima a sua volta designata responsabile del trattamento dall’Associazione, in base a quanto prospettato, titolare del trattamento;
e. «alla data del 10 ottobre 2016 [erano] state trasmesse n. 840.348 PEC»;
f. che era stato dato seguito alle opposizioni ricevute, assicurando la cancellazione dei dati degli interessati e l’interruzione di ulteriori comunicazioni nei confronti dei medesimi.
2.2. Considerata la molteplicità delle segnalazioni nonché l’elevato numero di indirizzi PEC che, in base a quanto rappresentato dalla Società, hanno formato oggetto di operazioni di trattamento ‒ peraltro con invii multipli ‒, sono state effettuate verifiche in loco presso la Società e l’Associazione, nelle giornate del 3, 4 e 5 luglio 2017, per verificare la liceità dei trattamenti effettuati.
3.1. Nell’ambito di tali accertamenti condotti dall’Ufficio con l’ausilio del Nucleo Speciale Privacy, il legale rappresentante dell’Associazione e, in pari tempo, della Società ha ribadito che la titolarità del trattamento dei dati in questione (conformemente a quanto indicato nel bando oggetto delle comunicazioni inviate) spetta all’Associazione, che ha designato la Società come responsabile in base all’art. 29 del Codice (cfr. verbale 3 luglio 2017, p. 3). Ha altresì dichiarato (cfr. verbale del 3 luglio, pp. 2 e 3; verbale del 4 luglio, pp. 1 e 2) che:
a. le operazioni di raccolta dei dati hanno riguardato, quanto a tipologia, gli indirizzi pec di avvocati, commercialisti e/o revisori contabili, consulenti del lavoro e notai, risultati di conseguenza destinatari delle comunicazioni in parola (più precisamente: «circa 240 mila pec ad avvocati, circa 117 mila pec a commercialisti e/o revisori contabili, circa 27 mila pec a consulenti del lavoro e circa 6000/7000 pec a notai»);
b. detta raccolta è stata effettuata, in via occasionale, da alcuni collaboratori volontari dell’Associazione nonché da una società terza, non designata responsabile del trattamento, ed è stata realizzata «mediante varie modalità di tipo manuale e di tipo automatizzato con software di raccolta automatica dei dati», tramite internet, dal registro INI-PEC ‒ ossia l’Indice Nazionale degli Indirizzi di Posta Elettronica Certificata (modificato in “Indice nazionale dei domicili digitali” dall’art. 8, comma 1, d.lgs. 13 dicembre 2017 n. 217), istituito in attuazione di quanto previsto dall’art. 16, d.l. 29 novembre 2008, n. 185, convertito, con modificazioni, dalla l. 28 gennaio 2009, n. 2 ‒ nonché dal sito www.registroimprese.it, e, in misura più contenuta, «dagli elenchi dei professionisti pubblicati da alcuni ordini provinciali delle citate categorie all’interno dei loro siti istituzionali, come più precisamente, all’interno di file pdf contenenti (anche i loro indirizzi pec)»;
c. gli indirizzi, registrati con le descritte modalità, sono stati quindi inviati dall’Associazione ad un (altro) soggetto terzo al quale è stato affidato il servizio di invio del bando e delle successive comunicazioni oggetto di segnalazione, precisando che queste ultime «sono state originate da richieste di chiarimenti e curiosità formulate da oltre mille destinatari e rivolte, tuttavia, a tutti gli indirizzi pec nella nostra disponibilità con l’obiettivo di far partecipe di tali chiarimenti tutta la platea dei potenziali candidati ad essere associati alla nostra onlus come “consulenti reputazionali”».
3.2. È stato altresì evidenziato (cfr. verbali del 4 luglio p. 2 e del 5 luglio, pp. 2 e 3) che:
a. «è stato scelto il mezzo pec, invece delle email ordinarie, proprio in considerazione della natura “istituzionale” delle comunicazioni che discende da patrocini e/o riconoscimenti di crediti formativi professionali di natura obbligatoria concessi direttamente dagli enti rappresentativi dei destinatari delle predette pec»;
b. «le predette pec sono consultabili sul sito INI-PEC e sui siti istituzionali degli Ordini Professionali Provinciali», precisando altresì che le comunicazioni in parola «sono state inviate […] sulla base di previ patrocini e/o riconoscimenti di crediti formativi professionali di natura obbligatoria da parte dei Consigli Nazionali degli Ordini Professionali (avvocati, commercialisti e esperti contabili, notai e consulenti del lavoro)», e che tali patrocini attesterebbero la natura non meramente commerciale, bensì la «spiccata finalità sociale» delle comunicazioni in questione, le quali peraltro avrebbero potuto essere considerate come «un’offerta di lavoro» rivolta ai 390.000 destinatari;
c. le comunicazioni in questione presentavano un link per potersi cancellare dalla mailing list (recante la locuzione “Per non ricevere più aggiornamenti cliccare qui”) nonché un distinto link al sito “www.it.mevaluate.com/mevitalia” tramite il quale gli interessati sono posti in condizione di prendere visione dell’informativa di cui all’art. 13 del Codice;
d. in relazione al consenso dei destinatari al trattamento dei dati loro riferiti, è stato ritenuto «di poter utilizzare gli indirizzi pec reperibili online sulle fonti già individuate» senza la necessità «di raccogliere il consenso degli interessati anche sulla base dei patrocini e/o riconoscimenti di crediti formativi professionali precedentemente ricevuti dai Consigli Nazionali degli Ordini Professionali interessati».
3.3. Il rappresentante della Società ha infine rappresentato che le attività di raccolta ed invio delle comunicazioni in questione erano state interrotte, anche in ragione del provvedimento a contenuto negativo del 24 novembre 2016, n. 488, adottato dal Garante riguardo alla verifica preliminare presentata dall’Associazione relativamente al proprio progetto di implementazione della figura del “consulente reputazionale” (cfr. verbale 3 luglio 2017, p. 2; verbale 5 luglio 2017, p. 3).
4. In via preliminare, si deve evidenziare che, a dispetto di quanto prospettato nel corso del procedimento (cfr. verbale 5 luglio 2017, p. 2; punto 3.1) ‒ secondo cui l’Associazione avrebbe operato in qualità di “titolare del trattamento” e la Società quale “responsabile del trattamento”, inquadramento formalizzato nell’atto di designazione, sottoscritto dalla medesima persona, recante la data del 20 febbraio 2016 ‒ deve ritenersi che nel caso di specie ricorra un rapporto di co-titolarità del trattamento dei dati in questione tra Associazione e Società, in ragione della circostanza che è evidente il coinvolgimento dei due menzionati soggetti nell’ambito di un unico progetto condiviso, quanto a principi, finalità e modalità attuative (art. 4, comma 1, lett. f e 28, del Codice), anche in ragione dell’identità del rappresentante legale nonché della comune sede legale (cfr. punto 3.1). Peraltro, sono rinvenibili agli atti ulteriori indici che confermano tale assunto, considerato che:
I. dalle comunicazioni inviate agli interessati è dato risalire alla sola Società, essendo le stesse prive di alcun richiamo all’Associazione (cfr. punto 1, cit.);
II. il bando allegato alle comunicazioni, riprodotto su carta intestata della Società.
Peraltro, a fondare la ritenuta co-titolarità del trattamento, depongono:
I. la presenza di un unico marchio “Mevaluate” nel bando e nelle comunicazioni inviate agli interessati (cfr. punto 1);
II. la circostanza che il sito http://www.it.mevaluate.com/home faccia riferimento sia all’Associazione sia alla Società;
III. la prospettata contrattualizzazione (pur rimasta lettera morta, in ragione del citato provvedimento di diniego) dei “consulenti reputazionali” in capo alla Società, come espressamente dichiarato dallo stesso rappresentante («Le comunicazioni in questione erano finalizzate a selezionare, fra i professionisti destinatari delle comunicazioni inviate via pec, 12.000 professionisti che sarebbero stati remunerati da Mevaluate Italia S.r.l. per svolgere l’attività di “consulente reputazionale”»: cfr. verbale 5 luglio 2017, cit., p. 3).
5.1. Tanto premesso, deve in anteparte rilevarsi, alla luce degli elementi acquisiti in atti, che le modalità utilizzate per raccogliere i dati personali degli interessati, per il tramite di soggetti terzi, si pongono in violazione dei principi di liceità e correttezza (art. 11, comma 1, lett. a), del Codice) nonché di finalità (art. 11, comma 1, lett. b), del Codice), con conseguente illiceità del trattamento effettuato. Ed invero, In relazione ai menzionati principi, le suddette modalità si pongono in contrasto con le seguenti disposizioni:
a. art. 6-bis, comma 1, d.lgs. n. 82/2005 (Codice dell’amministrazione digitale, c.d. “CAD”), introdotto dall’art. 5, comma 3, d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 22, che individua la finalità del registro pubblico INI-PEC (ora, a seguito del citato d.lgs. n. 217/2017, “Indice nazionale dei domicili digitali”), ossia quella di «favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica». Tale finalità è espressamente tenuta in considerazione nelle citate Linee Guida del 4 luglio 2013 in materia di attività promozionale e contrasto allo spam, nelle quali il Garante ha precisato che «senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell'”indice nazionale degli indirizzi pec» (cfr. punto 2.5 Linee Guida). Limitazione espressa che, peraltro, è evidenziata anche alla pagina web https://www.inipec.gov.it/note-legali) secondo cui: «L’utilizzo dei dati acquisiti tramite accesso all’INI-PEC deve sempre avvenire nel rispetto della normativa vigente in materia di trattamento dei dati personali (d.lgs. n. 196/2003 e s.m.i.). In particolare, il Garante ricorda che senza il preventivo consenso dei diretti interessati non è lecito utilizzare gli indirizzi PEC contenuti nell’indice ai fini dell’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (secondo quanto stabilito dall’art. 130, co. 1 e 2, del d.lgs. n. 196/2003 e dal Provvedimento del Garante per la protezione dei dati personali “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013 pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013)». Contrariamente a quanto rappresentato, le comunicazioni elettroniche oggetto di accertamento da parte dell’Ufficio (cfr. punto 2.1), ivi comprese quelle ricevute dai segnalanti, devono invece ritenersi connotate da finalità promozionali, in quanto mirano a favorire (peraltro verso pagamento di un corrispettivo «per ottenere l’attestato di qualificazione che abilita alla nuova attività professionale da parte dell’organismo di certificazione indipendente»: cfr. bando 2 ottobre 2016 in atti) le attività dell’Associazione connesse alla figura del “consulente reputazionale” all’interno del cd. “sistema Mevaluate” (v. altresì, in relazione riguardo alla definizione e all’ampia portata delle finalità promozionali, l’art. 13 direttiva 2002/58/CE, nonché il parere del Gruppo art. 29 n. 5/2004 relativo alle comunicazioni indesiderate a fini di commercializzazione diretta);
b. art. 16, comma 10, d.l. n. 185/2008 (convertito, con modificazioni, in legge 28 gennaio 2009, n. 2), in base al quale, mentre «La consultazione per via telematica dei singoli indirizzi di posta elettronica certificata […] nel registro delle imprese o negli albi o elenchi costituiti ai sensi del presente articolo avviene liberamente e senza oneri», «l’estrazione di elenchi di indirizzi è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza», con conseguente esclusione, pertanto, della liceità della medesima operazione da parte di soggetti privati.
Alla luce di tali disposizioni risulta evidente come l’ordinamento individui puntualmente la finalità che presiede alla pubblicazione degli indirizzi pec nell’indice nazionale degli indirizzi di Posta Elettronica Certificata in vista del corretto utilizzo degli stessi ‒ utilizzo che potrebbe essere pregiudicato ove liberamente utilizzabili per l’invio di comunicazioni promozionali ‒ nonché le corrette modalità di estrazione di tali informazioni (non osservate nel caso di specie, nel quale è stata effettuata da soggetti privati e mediante apposito software a tal fine implementato per ovviare ai descritti limiti normativi). Nell’alveo della ricordata disciplina, che presiede alla correttezza e liceità delle operazioni di trattamento riferite agli indirizzi pec resi pubblici tramite l’Indice, non può quindi inscriversi, come accaduto nel caso di specie, l’estrazione massiva di indirizzi pec e la conseguente attività di invio di comunicazioni (peraltro indipendentemente dal contenuto) ai professionisti ai quali tali indirizzi si riferiscono.
5.2. In ragione di tali considerazioni, deve quindi ritenersi che, per ciò solo, i dati trattati dalla Società e dall’Associazione non potessero essere utilizzati (cfr. art. 11, comma 2, del Codice) e se ne debba quindi vietare l’ulteriore utilizzo.
6.1. A ciò si aggiunga che rispetto all’invio delle comunicazioni elettroniche in questione, considerato il loro contenuto promozionale (cfr. punto 5.1.a), , l’Associazione e la Società, in qualità di co-titolari del trattamento, avrebbero dovuto acquisire il consenso informato degli interessati ai sensi degli artt. 13, commi 1 e 4, 130, commi 1 e 2, e 23 del Codice (v. pure Linee guida in materia di spam del 4 luglio 2013, cit., in particolare punto 2.6).
6.2. Né, in tale prospettiva, può giovare l’informativa inserita all’interno delle comunicazioni promozionali in questione, né l’aver ricevuto da parte degli Ordini professionali di appartenenza degli interessati, come dichiarato (anche ai sensi dell’art. 168 del Codice), riconoscimenti e patrocini, non potendo ritenersi tali circostanze idonee a surrogare il necessario consenso informato da parte dei singoli interessati, cui fa capo il diritto alla protezione dei dati personali riconosciuto dal legislatore.
7. Peraltro la necessità del previo consenso informato dell’interessato sussiste anche quando i dati personali (come, nella fattispecie, una parte degli indirizzi di posta elettronica destinatari delle comunicazioni in parola) siano rinvenibili in altri registri o elenchi pubblici (quali quelli disponibili sul sito www.registroimprese.it o sui siti web istituzionali degli ordini provinciali delle categorie professionali), in quanto l’agevole reperibilità degli stessi non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione (principio costantemente affermato dal Garante a partire dal provvedimento 11 gennaio 2001, doc. web n. 40823 e, quindi, con il provvedimento generale sullo spamming del 29 maggio 2003, doc. web n. 29840 e Linee Guida spam, par. 2.5; v. altresì provv. 6 ottobre 2016, n. 390, doc. web n. 5834805; provv. 21 settembre n. 2017, n. 378, doc. web n. 7221917; provv. 30 novembre 2017, doc. web n. 7522090).
8. Né viene meno l’illiceità del trattamento per il solo fatto che nelle e-mail indesiderate inviate sia presente un link per la cancellazione dalla mailing list (cfr. verbale del 4 luglio, cit., p. 2), atteso che il consenso richiesto (salvo per le ipotesi di cui all’art. 130, comma 4, del Codice, che non ricorrono nel caso di specie) deve essere legittimamente acquisito anteriormente all’invio delle comunicazioni promozionali (cfr., fra i vari, Linee Guida 4 luglio 2013, punto 2.5; provv. 6 ottobre 2016 e provv. 30 novembre 2017, citt.).
9. Per i motivi sopra esposti (inclusi l’elevato numero di indirizzi pec trattati e il carattere massivo dell’attività di invio), ‒ pur preso atto di quanto dichiarato dall’Associazione con riferimento all’interruzione delle attività di raccolta e d’invio delle proprie comunicazioni ‒ si ritiene che i dati personali raccolti e ulteriormente trattati per le finalità sopra indicate, in base all’art. 11, comma 2, del Codice, non possono essere utilizzati e se ne deve quindi vietare alla Società e all’Associazione l’ulteriore uso. Si deve quindi prescrivere alle medesime la cancellazione, senza ritardo, dei dati trattati in violazione di legge.
10. Deve altresì rilevarsi che, anche in relazione alla dichiarata comunicazione ad un soggetto terzo degli indirizzi pec in parola in vista del successivo inoltro delle email a contenuto promozionale in assenza di previa designazione dello stesso quale “responsabile del trattamento” ai sensi dell’art. 29 del Codice (v. in merito il punto 2.1, lett. d), risulta ulteriormente violato l’art. 23 del Codice, non essendo detta operazione di trattamento (la comunicazione dei dati) fondata su un idoneo consenso degli interessati o su altro presupposto equipollente ai sensi dell’art. 24 del Codice.
Né la dichiarata designazione di tale soggetto quale “incaricato privacy” ‒ avvenuta con il menzionato atto del 6 settembre 2016 riconducibile a quello tipico della designazione ad “incaricato del trattamento” ai sensi dell’art. 30 del Codice – può surrogare la necessaria designazione come della società terza quale “responsabile” ai sensi dell’art. 29 del Codice. Ciò, atteso che la legge qualifica l’incaricato del trattamento come la persona fisica (e non, come nel caso di specie, le entità personificate) che può effettuare operazioni di trattamento “sotto la diretta autorità” del titolare o responsabile, (che pure non ricorre nel caso di outsourcing che qui ricorre) (in tal senso v. il parere del Garante 8 giugno 1999, in Bollettino n. 9, pag. 58, doc. web n. 42260, nel quale si è evidenziata la possibilità di designare quale “responsabile”, e non quale “incaricata”, una società esterna fornitrice dei servizi concernenti la stampa e l’elaborazione dei cedolini di stipendio dei dipendenti del titolare; provv. 30 dicembre 2002, doc. web n. 1067199).
11. Con particolare riguardo alle violazioni sopra rilevate, l’Autorità si riserva di valutare, con autonomo procedimento, la sussistenza dei presupposti per contestare, all’Associazione e alla Società, le violazioni amministrative concernenti la violazione degli artt. 13, 23 e 130 del Codice, e quindi le sanzioni previste dagli artt. 161 e 162, comma 2-bis del Codice.
12. Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro ai sensi dell’art. 162, comma 2-ter del Codice.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi degli artt. 143, comma 1, lett. b) e c), 144, 154, comma 1, lett. c) e d) del Codice, nei confronti dell’Associazione Mevaluate onlus e a Mevaluate Italia s.r.l.:
1. vieta l’ulteriore trattamento dei dati personali raccolti con le modalità e finalità sopra descritte;
2. prescrive la cancellazione dei dati trattati in violazione di legge senza ritardo, e comunque entro e non oltre 30 giorni dalla ricezione del presente provvedimento, provvedendo entro lo stesso termine a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla predetta richiesta, formulata ai sensi dell’art. 157 del Codice, è punito con la sanzione amministrativa di cui all’art. 164 del Codice medesimo.
Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.