I principi fissati dal Garante Privacy riguardo i due recenti provvedimenti su marketing e web-scraping

Rubrica #Elex- Novità dal diritto dei media, è la rubrica sui temi del diritto applicato al digitale, curata dallo studio E-lex di Roma per Key4biz. Per consultare tutti gli articoli clicca qui.

Nell’ultima newsletter del Garante per la protezione dei dati personali sono stati pubblicati due interessanti provvedimenti in materia di marketing.

Con il primo, il Garante ha sanzionato, con una pena pecuniaria di 10.000 euro, una società che inviava e-mail dal contenuto pubblicitario a utenti, i cui recapiti erano stati reperiti in elenchi pubblici, in assenza di consenso.

Nel provvedimento si evidenzia che l’unico caso ammesso per l’uso di e-mail in assenza di un consenso è quello previsto dall’art. 130, co. 4 del Codice privacy, dove si ammette che l’utente, che ha già acquistato dal titolare un prodotto o un servizio analogo, riceva comunicazioni commerciali su beni o servizi analoghi. In questi casi, deve comunque essere consentito al destinatario della comunicazione di opporsi a successivi invii (ad esempio, con il tasto di unsubscribe).

I principi fissati sono quindi i seguenti:

  1. Non è sufficiente inserire una modalità che consente all’utente di cancellarsi;
  2. La circostanza che i dati di contatto siano all’interno di elenchi pubblici non ne legittima l’uso per finalità promozionali;
  3. È necessario acquisire preventivamente il consenso alle comunicazioni commerciali;
  4. L’unica eccezione è rappresentata dall’art. 130, co. 4 del Codice privacy, dove si prevede che l’utente – che ha stipulato precedentemente un contratto con il titolare del trattamento – riceva comunicazioni relative a prodotti o servizi analoghi;
  5. Anche in quest’ultimo caso, deve essere consentito all’utente di opporsi a successive comunicazioni con mezzi semplici (es. con un link di unsubscribe).

Nel secondo provvedimento, forse più innovativo, il Garante ha stabilito che è vietato creare un database di numerazioni telefoniche per mezzo di web-scraping, una forma di automatizzazione che consente di acquisire informazioni dai siti web. Quindi, si riafferma il principio per cui non è possibile creare elenchi telefonici diversi dal DBU, l’archivio elettronico unico che raccoglie i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile, istituito con le delibere dell’Agcom n. 36/02/CONS e n. 180/02/CONS.

Nella fattispecie, alcuni dei segnalanti hanno rappresentato che la presenza dei propri dati personali (numero di telefono e indirizzo) non solo era in contrasto alla normativa vigente, atteso che molte numerazioni non erano neanche presenti nell’elenco telefonico generale (ETG), ma altresì che la diffusione dei recapiti personali costituiva un importante fattore di rischio per l’incolumità propria e del proprio nucleo familiare.

Un’ulteriore violazione, oltre al mancato consenso all’inserimento nel database, è stata rinvenuta nell’impossibilità per gli utenti di richiedere la cancellazione al titolare del trattamento, atteso che “la procedura di cancellazione sembrava non attiva o si interrompeva prima di andare a buon fine”.

Pertanto, il Garante ha fissato i seguenti principi:

  1. Non è possibile costituire un elenco telefonico diverso dal DBU;
  2. Per utilizzare le numerazioni telefoniche è necessario un consenso preventivo;
  3. Non possono essere raccolti dati di contatto per mezzo di software di web-scraping;
  4. In ogni caso, deve essere assicurato il diritto di cancellazione degli utenti.

https://www.key4biz.it/i-principi-fissati-dal-garante-privacy-riguardo-i-due-recenti-provvedimenti-su-marketing-e-web-scraping/451876/