Uso delle PEC pubblicate online per attività di marketing: cosa devono imparare le imprese - Cyber Security 360

LE REGOLE

Uso delle PEC pubblicate online per attività di marketing: cosa devono imparare le imprese

In una recente decisione, il Garante per la privacy ha sanzionato una società che, senza il consenso degli interessati, aveva usato gli indirizzi PEC contenuti nel registro INI-PEC per inviare comunicazioni a contenuto promozionale. Ecco adempimenti e accorgimenti pratici da considerare per la compliance GDPR

13 Set 2021
P
Stefano Petrussi

Avvocato, Partner Floreani Studio Legale Associato

Recentemente, il Garante per la privacy con il Provvedimento n. 149 del 21 aprile 2021 ha affrontato il tema relativo all’utilizzo degli indirizzi PEC rinvenuti online e, in particolare, all’interno del registro pubblico INI-PEC (indice degli indirizzi di posta elettronica certificata delle Imprese e dei Professionisti) per l’invio di comunicazioni a contenuto promozionale.

Tale decisione costituisce un’occasione importante per ripercorrere alcune regole e principi ormai consolidati nella “giurisprudenza” dell’Autorità ai quali spesso, tuttavia, i titolari del trattamento non si attengono puntualmente.

La decisione del Garante: cosa devono imparare le imprese

In particolare, da una lettura attenta del Provvedimento le imprese tutte possono apprendere alcune utili lezioni:

  1. l’invio di comunicazioni tramite sistemi automatizzati (per esempio, e-mail, SMS ecc.) è consentito solo con il consenso del contraente o utente (art. 130, commi 1 e 2 del Codice della privacy, c.d. “opt-in”) potendosi ammettere una deroga unicamente nel caso in cui l’indirizzo e-mail sia stato rilasciato dall’interessato nel contesto di una vendita di beni o servizi analoghi (cosiddetto “soft spam” cui all’art. 130, comma 4, cit.);
  2. non è lecito, con la comunicazione promozionale effettuata, avvisare l’interessato della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali;
  3. senza il consenso preventivo dell’interessato non è possibile inviare comunicazioni promozionali mediante strumenti automatizzati neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque;
  4. analogamente, senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti[1].

Verso una Pec europea: ecco come funzionano il modello REM e il sistema e-Delivery

Focus sugli insegnamenti da trarre

La fattispecie considerata nella decisione in commento[2] riguardava diversi reclami e segnalazioni indirizzati da parte di avvocati che avevano lamentato la ricezione di e-mail promozionali, verosimilmente estratte dal registro INI-PEC[3] da parte di una società operante nel marketing (di seguito, Società oppure Azienda).

Dalle risultanze dell’istruttoria condotta dall’Ufficio dell’Autorità per accertare le circostanze oggetto di segnalazione, era emerso che le e-mail inviate (tutte di uguale contenuto) contenevano una informativa nella quale la Società rendeva noto che i dati utilizzati per l’invio delle comunicazioni erano stati estratti da banche dati pubbliche.

In risposta alle richieste di informazioni inviate dal Garante, la Società dichiarava soltanto di aver provveduto a cancellare i dati degli istanti senza tuttavia fornire alcun chiarimento in merito alla base giuridica posta a fondamento del trattamento.

Proseguendo nella disamina del Provvedimento, si evinceva che l’Azienda, con e-mail del 30 novembre 2020, osservava, inoltre, che il messaggio conteneva una informativa privacy attraverso la qualesi dava tempestiva informazione agli istanti del reperimento da parte nostra del loro indirizzo di posta elettronica che era liberamente disponibile online”.

Non solo. La Società rappresentava ancheche era possibile interrompere la ricezione utilizzando un apposito link o scrivendo all’indirizzo privacy@ ….it” (pag. 2, cit.)[4].

La prima lezione del Garante: no allo spam sulle PEC

Relativamente ai profili sopra rappresentati, il Garante sottolineava che le comunicazioni promozionali erano state inviate, utilizzando dati estratti da banche dati pubbliche, in assenza di un idoneo consenso dei destinatari (pag. 2, cit.).

Al riguardo, l’Autorità confermava che, come già evidenziato sin dalle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, “senza il consenso (…) non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque” (pag. 2, cit.).

Analogamente – ribadiva il Garante – senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti (…) istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica” (pag. 2, cit.)[5].

Atteso quanto sopra, l’Authority, pertanto, ravvisava la violazione da parte della Società dell’art. 130 del Codice e dell’art. 6, par. 1, lett. a) del Regolamento e vietava, ai sensi dell’art. 58, par. 2 lett. f), l’ulteriore utilizzo per finalità promozionali dei dati personali che l’Azienda aveva acquisito senza poter documentare l’esistenza di un idoneo consenso, ordinando altresì la cancellazione dei dati in parola ai sensi dell’art. 58, par. 2, lett. g) del Regolamento.

Il calcolo della sanzione amministrativa pecuniaria

Interessanti e degne di nota sono le considerazioni illustrate dall’Autorità Garante sulla determinazione dell’ammontare della sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Nella fattispecie considerata, infatti, l’Autorità giungeva alla determinazione e irrogazione alla Società della sanzione amministrativa pecuniaria nella misura di euro 20.000,00 (ventimila/00), valutando il complesso delle circostanze cui all’art. 83, paragrafo 2 del Regolamento nei termini di seguito evidenziati.

Per quanto attiene le circostanze aggravanti, il Garante ha considerato:

  • la numerosità dei soggetti interessati dalle comunicazioni tenuto conto del fatto che l’attività promozionale costituiva l’oggetto sociale della Società;
  • la circostanza che l’utilizzo dello strumento della PEC ha reso il trattamento idoneo ad arrecare maggiori interferenze all’esercizio dell’attività professionale degli interessati e per tale ragione risultava più grave (art. 83, par. 2, lett. a) del Regolamento);
  • il carattere gravemente colposo della violazione tenuto conto che “la Società ha inviato messaggi promozionali senza consenso ritenendo sufficiente la presenza degli indirizzi in un registro pubblico, nonostante il chiaro disposto dell’art. 130 del Codice e nonostante le innumerevoli pronunce rese negli anni dal Garante da considerarsi ormai ampiamente note, almeno nei principi, ai titolari del trattamento” (art. 83, par. 2, lett. b) e d), cit.);
  • “l’assenza di misure correttive proposte per evitare il ripetersi di eventi analoghi”: la Società, infatti, si è solo limitata a dichiarare di aver cancellato i nominativi dei reclamanti e non ha reso dichiarazioni in merito ad eventuali interventi correttivi[6] (art. 83, par. 2, lett. c), cit.).

Relativamente agli elementi attenuanti, l’Autorità ha ritenuto di dover tenere conto:

  • della natura dei dati oggetto di violazione (dati comuni e non particolari);
  • del livello di danno subito dai reclamanti, consistente nella ricezione di messaggi promozionali indesiderati, che è risultato tuttavia temperato dalla possibilità di opporsi ad essi mediante un apposito link;
  • il grado di cooperazione con l’Autorità di controllo;
  • la natura di microimpresa dell’Azienda, da poco sul mercato, nonché i dati del bilancio 2019;
  • l’assenza di precedenti procedimenti avviati a carico della Società[7].

PEC, firma digitale e conservazione documentale: processi aziendali più agili con il cloud

Considerazioni conclusive

Alla luce di quanto fin qui osservato, si rileva, pertanto, l’importanza e l’utilità delle indicazioni fornite dal Garante con il Provvedimento n. 149 del 21 aprile 2021 ai titolari del trattamento il cui intento sia quello di utilizzare gli indirizzi PEC contenuti nel registro INI-PEC per l’invio di comunicazioni a contenuto promozionale.

Orbene, dall’analisi della decisione in commento (e come ribadito, peraltro, nella rilevante e cospicua attività provvedimentale del Garante italiano in materia), emerge ancora una volta come la reperibilità dei dati personali in banche dati pubbliche online non ne autorizza il trattamento per qualsiasi scopo ma esclusivamente per le finalità sottese alla loro pubblicazione (nel caso di specie, per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica) e non per finalità di marketing[8].

Ecco che, dunque, risulta evidente come la citata pronunzia dell’Authority funga da monito per tutte le imprese a soffermare l’attenzione su obblighi, quali l’informativa ed il consenso e, soprattutto, a fare tesoro delle pronunzie rese negli anni dal Garante sul tema al fine di giustificare e rendere conto delle proprie scelte in materia di governance dei dati e fare proprio il principio di accountability.

 

NOTE

  1. Cfr. in particolare, il punto 2.5 delle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 in cui il Garante ha evidenziato che “Analogamente, senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell´”indice nazionale degli indirizzi pec delle imprese e dei professionisti” -di cui al d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 221, che ha introdotto l´apposito art. 6-bis del d.lgs. 7 marzo 2005, n. 82 (Codice dell´amministrazione digitale)- istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica”.

  2. Doc. web n. 9680996. Registro dei provvedimenti n. 149 del 21 aprile 2021.

  3. Indice Nazionale degli Indirizzi di Posta Elettronica Certificata istituito dal Ministero dello Sviluppo Economico”.

  4. Come puntualmente sottolineato dall’Autorità per la protezione dei dati nel Provvedimento n. 52 del primo febbraio 2018 “Né viene meno l´illiceità del trattamento per il solo fatto che nelle e-mail indesiderate inviate sia presente un link per la cancellazione dalla mailing list (cfr. verbale del 4 luglio, cit., p. 2), atteso che il consenso richiesto (salvo per le ipotesi di cui all´art. 130, comma 4, del Codice, che non ricorrono nel caso di specie) deve essere legittimamente acquisito anteriormente all´invio delle comunicazioni promozionali” (cfr., fra i vari, Linee Guida 4 luglio 2013, punto 2.5; provv. 6 ottobre 2016 e provv. 30 novembre 2017, citt).

  5. Sul punto, si noti che, a mente dell’art. 6-bis, comma 1, d.lgs. n. 82/2005 (Codice dell´amministrazione digitale, c.d. “CAD”), introdotto dall´art. 5, comma 3, d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 22, la finalità del registro pubblico INI-PEC (ora, a seguito del citato d.lgs. n. 217/2017, “Indice nazionale dei domicili digitali”) è quella di favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica”. Limitazione espressa che, peraltro, è evidenziata anche alla pagina web https://www.inipec.gov.it/note-legali) secondo cui: “L´utilizzo dei dati acquisiti tramite accesso all´INI-PEC deve sempre avvenire nel rispetto della normativa vigente in materia di trattamento dei dati personali (D.lgs. n. 196/2003 e s.m.i.)” (cfr. doc. web n. 7810723, Registro dei provvedimenti n. 52 del primo febbraio 2018, pag. 4).

  6. “(…) tanto che si è reso necessario imporre il divieto di ulteriori invii di messaggi promozionali a soggetti di cui non sia dimostrata l’acquisizione del consenso” (pag. 3, cit.).

  7. I criteri suindicati sono stati valutati prudentemente dal Garante “anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società e in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento (pag. 3, cit.).

  8. Principio costantemente affermato dal Garante a partire dal Provvedimento 11 gennaio 2001, doc. web n. 40823 e, quindi, con il Provvedimento generale sullo spamming del 29 maggio 2003, doc. web n. 29840 e Linee Guida spam, par. 2.5; v. altresì provv. 6 ottobre 2016, n. 390, doc. web n. 5834805; provv. 21 settembre n. 2017, n. 378, doc. web n. 7221917; provv. 30 novembre 2017, doc. web n. 7522090; provv. 1 febbraio 2018, n. 52, doc. web. n. 7810723.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5