Richiedere verifiche sull’operato professionale legittima espressioni forti

Avv. Flaviano Sanzari

L’esposto disciplinare rientra nell’esercizio del diritto di critica, a patto che non vengano divulgati fatti attinenti alla persona oggetto delle censure, ma si intenda solo investire l’organo competente della valutazione della correttezza circa il suo operato professionale.

Lo precisa la Corte di Cassazione penale con la sentenza n. 32407 del 19 luglio scorso, evidenziando che è sempre espressione del legittimo diritto di critica richiedere controlli e verifiche sull’operato di soggetti che hanno peculiari poteri in ragione della professione esercitata.

La Suprema Corte chiarisce, peraltro, che è sempre necessario, al fine di ritenere sussistente l’esimente ed escludere l’illecito diffamatorio, che nell’esposto non vengano utilizzate espressioni “direttamente e smodatamente offensive nei confronti della persona offesa”, ma solo, appunto, dubbi e perplessità, che, seppur dovessero poi manifestarsi infondati, non travalicano il confine di un corretto esercizio del diritto di critica.

Animale sui social: è diffamazione

Avv. Flaviano Sanzari

Sono ingiuriose e non giustificate nemmeno dallo scadente livello espressivo tipico dei social  quelle espressioni con le quali si “disumanizza” la vittima, assimilandola a cose o animali: paragonare un essere umano (nella fattispecie, un bambino) a un “animale”, inteso addirittura come “oggetto”, visto che il padre ne viene definito “proprietario”, è certamente locuzione che conserva intatta la sua valenza offensiva.

Lo ha sancito la Corte di Cassazione penale con la sentenza n. 34145 del 26 luglio scorso, precisando che, se è vero che la recente giurisprudenza di legittimità ha mostrato alcune “aperture” verso un linguaggio più diretto e “disinvolto”, è però altrettanto vero che talune espressioni presentano ex se carattere insultante.

Sono obiettivamente ingiuriose, in particolare, quelle espressioni con le quali si “disumanizza” la vittima, assimilandola a cose o animali, per cui le espressioni poste all’esame della Suprema Corte non possono non essere ritenute illecite, pure se inserite nel quadro di degrado del codice comunicativo a cui si assiste soprattutto sui social media.

Le Sezioni Unite sul diritto all’oblio

Avv. Flaviano Sanzari

La pubblicazione di un articolo che, a distanza di anni, ripropone, con nome e cognome del protagonista, fatti ormai passati, non può ritenersi legittima, a meno che si tratti di personaggi tuttora al centro del pubblico interesse.

Le Sezioni unite civili della Corte di Cassazione, con la sentenza  n. 19681 depositata il 22 luglio scorso, sono così intervenute sul bilanciamento tra diritto all’oblio e diritto d’informazione.

In particolare, le Sezioni unite puntualizzano che, quando ripubblica avvenimenti e notizie che a suo tempo rivestivano interesse pubblico, il giornalista non sta esercitando il diritto di cronaca, ma quello alla rievocazione storica di quei fatti. Questo non esclude, secondo i giudici, che possano insorgere elementi nuovi per cui la notizia ritorni di attualità, ma «in assenza di questi elementi, però, tornare a diffondere una notizia del passato, anche se di sicura importanza in allora, costituisce esplicazione di un’attività storiografica che non può godere della stessa garanzia costituzionale che è prevista per il diritto di cronaca».

Sicuramente anche l’attività di rievocazione storica è utile per la collettività; ma, a meno che non riguardi protagonisti che hanno rivestito e rivestono tuttora un ruolo pubblico, «deve svolgersi in forma anonima, perché nessuna particolare utilità può trarre chi fruisce di quell’informazione dalla circostanza che siano individuati in modo preciso coloro i quali tali atti hanno compiuto».

In definitiva, l’interesse a conoscere un fatto, espressione del diritto a informare e a essere informati, «non necessariamente implica la sussistenza di un analogo interesse alla conoscenza dell’identità della singola persona che quel fatto ha compiuto», in quanto l’identificazione personale che, all’epoca, certo rivestiva un’importanza evidente, adesso potrebbe diventare irrilevante per l’opinione pubblica, una volta che il tempo è trascorso e la memoria collettiva è sbiadita.

Responsabilità delle video sharing platform: il Tribunale delle Imprese di Roma decide dopo la sentenza della Corte di Cassazione sul caso Mediaset c. Yahoo!

Avv. Alessandro La Rosa

I Fatti

I video di RTI oggetto di causa sono stati caricati sulla piattaforma francese da utenti privati a partire dal 2006 e in alcuni casi sono rimasti online fino al 2013.

Una volta verificata la presenza di video non autorizzati, RTI ha inviato alla piattaforma di video-sharing francese plurime diffide trasmesse ante causam sin dal 2010. Nel corso del procedimento, iniziato nel 2012 e conclusosi nel 2019, i video illecitamente pubblicati confluiti nell’oggetto della causa sono stati 995.

Con la sentenza n. 14757/2019 del 12.7.2019 il Tribunale delle Imprese di Roma ha condannato Dailymotion SA (società del gruppo francese Vivendi) al risarcimento di oltre 5,5 milioni di euro in favore di RTI (società del Gruppo Mediaset).

I Principi.

  • Video-sharing-platform come provider attivo non riconducibile alla figura di hosting “passivo”. Il Collegio romano ha anzitutto stabilito che il provider “attivo” non costituisce una sub-categoria del provider “passivo” disciplinato dall’art. 16 del D. Lgs. n. 70/2003 ma è figura del tutto autonoma che si sottrae integralmente alla disciplina nazionale e comunitaria prevista per l’hosting “neutro”: “L’HOSTING PROVIDER ATTIVO si colloca al di là della specifica categoria proposta dalla normativa comunitaria e conseguentemente al di fuori anche della specifico regime dell’articolo 16 della normativa nazionale… Tale distinzione a livello europeo è scaturita da un’attenta riflessione sul considerando 42 della direttiva E-COMMERCE;

La natura “attiva” o “passiva” del provider non può essere definita in maniera statica ma va valutata, caso per caso, in relazione all’interazione del provider con i singoli video oggetto di contestazione: “Altro rischio che si corre è quello di un eccessivo irrigidimento della qualificazione giuridica di un soggetto commerciale. Un HOSTING PROVIDER può svolgere infatti alternativamente funzioni attive e passive a seconda dei soggetti con cui interloquisce e può svolgere funzioni attive e passive anche contemporaneamente… Quindi la verifica sulla natura attiva o passiva del provider non deve investire tanto il soggetto giuridico in quanto tale”.

  • Responsabilità civile secondo le regole comuni. Conseguentemente il provider attivo non può negare la propria conoscenza dell’illecito finché non ne venga notiziato da terzi, ad esempio tramite un’apposita diffida da parte del titolare del diritto, perché tanto potrebbe riconoscersi, al più, qualora il provider abbia natura neutra e passiva. Conseguentemente l’operatore “attivo” risponde delle conseguenze dell’illecito secondo le regole generali sulla responsabilità civile: “La comunicazione/diffida ai sensi dell’articolo 16 della normativa nazionale è difatti categorizzazione tipica della hosting provider passivo, laddove DAILYMOTION, quale provider attivo, risponde della pubblicazione di contenuti autoriali altrui secondo le tradizionali norme di carattere civilistico”.
  • Gli elementi identificativi dei contenuti illeciti. Quand’anche si volesse considerare Dailymotion un provider “passivo”, per il Tribunale delle Imprese di Roma non poteva escludersi la conoscenza degli illeciti da parte della video-sharing platform sulla base di elementi identificativi delle opere audiovisive di RTI quali il titolo della trasmissione e altri dati caratterizzanti, quali ad esempio, le luminose di canale: “Ora che non vi è chi non veda come, nel momento in cui una società abbia espressamente richiesto ad Hosting Provider (si suppone passivo) l’eliminazione del portale di tutti i contenuti relativi ad una determinata trasmissione, segnalando il titolo della trasmissione e anche dei dati caratterizzanti, abbia integrato con ciò quella “comunicazione” o l’essere “al corrente dei fatti”, cui fa riferimento l’a 16 della direttiva 31-00 ed abbia così posto in condizione la società convenuta con un minimo sacrificio di agevolmente rimuovere tutti i contenuti riferibile ad una determinata privativa d’autore”.

4)        L’irrilevanza della comunicazione degli URL. Diretta conseguenza di quanto sopra detto, è che il titolare del diritto d’autore non può essere gravato dell’obbligo di indicare al provider in modo specifico tutti gli URL per la localizzazione dei contenuti illeciti: la questione della non necessità dell’indicazione degli URL “può essere, ad avviso del presente collegio, risolta comunque sempre mediante l’applicazione del principio di buona fede ex art. 1375 del codice civile, principio cui peraltro fa espresso riferimento la normativa comunitaria e che grava un soggetto dell’obbligo di garantire il diritto altrui riconosciuto dall’ordinamento nei limiti dell’apprezzabile sacrificio. Il riferimento deve quindi sempre essere soltanto all’effettiva conoscenza dei contenuti illeciti per la quale non può in alcun modo ritenersi indispensabile l’indicazione degli URL essendo sufficiente un’indicazione specifica dei files illeciti (video, programmi etc) con ogni mezzo”.

5)        L’onere della prova. Secondo il Collegio romano avrebbe dovuto essere Dailymotion a dimostrare di possedere caratteristiche tali da poterle consentire di beneficiare del regime giuridico di favore previsto dalla direttiva e-commerce 2000/31/CE e non invece il titolare dei diritti autoriali (RTI) a dover dimostrare l’estraneità della video-sharing-platform alla figura creata dal legislatore eurounitario: “incombeva alla convenuta dare la dimostrazione fattuale dell’esistenza di una struttura di impresa, di un’organizza- zione di dipendenti e di una modalità di gestione compatibili con quanto previsto dall’articolo 14 della direttiva e 16 della normativa nazionale. Alla luce difatti di un principio generale di responsabilità per la pubblicazione e diffusione di materiale altrui protetto da diritto d’autore (DAILYMOTION è perfettamente conscia del fatto che la maggior parte del materiale divulgato sulla sua piattaforma è coperto da privativa autoriale) la convenuta era gravata dall’onere di dare fattiva dimostrazione del possedere le specifiche corrispondenti all’esimente stabilita dal Legislatore comunitario”.

  • I diritti esclusivi violati. I diritti esclusivi dell’operatore televisivo violati in ipotesi di abusiva messa a disposizione del pubblico di contenuti protetti da provative autoriali sono quelli tutelati dagli articoli 78 ter e 79 della legge sul diritto d’autore: “Dailymotion dovrà quindi rispondere nei confronti di RTI ai sensi dell’a 78 ter della LDA e dell’art. 79, quale società che esercita l’attività di emissione televisiva”.

Gli elementi fattuali

In piena aderenza ai principi enucleati dalla recentissima sentenza n. 7708/2009 della Corte di Cassazione (sul caso RTI c Yahoo!, secondo cui la natura “attiva” o “neutrale” del provider va valutata alla luce di specifici “indici di interferenza” quali l’attività di indicizzazione, organizzazione, catalogazione dei materiali memorizzati), i Giudici romani sono giunti alla conclusione che nel caso specifico Dailymotion “abbia perso il carattere di neutralità e passività … operando sui dati che carica forme di intervento volte a sfruttare i contenuti dei singoli materiali caricati dagli utenti e memorizzati sui propri server ed operando in generale sotto le forme del controllo, della conoscenza e della profilazione dei dati ed in maniera non automatizzata”.

Tanto sulla base dell’esame di una serie di circostanze fattuali, di seguito indicate: “anche l’organizzazione dell’archiviazione e della catalogazione preventiva (dei contenuti video ndr) mediante la predisposizione di Cookies può costituire un elemento di manipolazione, o di assenza di neutralità, almeno nella misura in cui la predisposizione di cookies tarati ad un determinato risultato, effettuati da tecnici informatici (per esempio per la fornitura di pubblicità mirata) e la catalogazione dei contenuti, alterino la naturale collocazione dei documenti stoccati e ne determinino differente visibilità e ricorrenza nelle ricerche”.

I precedenti della Corte di Giustizia UE

La decisione in commento, si pone in piena sintonia con le più recenti sentenze della Corte di Giustizia europea che si sono espresse sul tema della responsabilità dei fornitori di servizi di hosting: tra le altre la sentenza del 7.8.2018, C-521/17, resa nel caso SNB-REACT la CGUE; la sentenza C-324/09, nel caso L’Oréal c. eBay; la sentenza resa nel caso C-610/15 Stichting c. Ziggo BV; la sentenza resa nel caso C-236/08 Google c. Louis Vuitton. Tra tutte, proprio la sentenza sul caso C-610/15 Stichting c. Ziggo BV , come la Corte di Cassazione citata, aveva indicato nella presenza di un motore di ricerca interno alla piattaforma di content-sharing (“thepiratebay”) e nella presenza di sistemi di catalogazione ed organizzazione dei contenuti gli elementi idonei ad integrare la violazione del diritto esclusivo di comunicazione al pubblico di materiali coperti dal diritto d’autore.

Conclusioni

La sentenza, nel suo complesso, pare confermare (così come la citata sentenza della Suprema Corte sul caso RTI-Yahoo!) l’ormai costante orientamento giurisprudenziale che guarda con esplicito favore alla tutela dei diritti autorali in ambito digitale, recependo pienamente il chiaro indirizzo dato dal legislatore comunitario con la recente direttiva 2019/790 sul diritto d’autore nel mercato unico digitale.

FaceApp: molto rumore per nulla?

Avv. Vincenzo Colarocco

FaceApp è un’applicazione per dispositivi mobili, prodotta da una società russa con sede a San Pietroburgo, la Wireless Lab, capace di modificare la foto-ritratto scattata dall’utente in un’immagine invecchiata, ringiovanita o trasformata in altro sesso.

Se, da un lato, la FaceApp mania impazza, complice anche l’abuso di molti influencer, dall’altro, il dibattito sull’applicazione si fa sempre più fervido. Lo sviluppatore americano Joshua Nozzi, con un tweet, ha accusato la Wireless Lab di raccogliere dati senza il consenso degli utenti, infuocando in questa maniera l’opinione pubblica. “Be careful with FaceApp” scriveva Nozzi “it immediately uploads your photos without asking, whether you chose or not”.

A destare preoccupazione il fatto che le foto modificate dall’applicazione siano salvate su un server controllato dalla Wireless Lab, senza che la privacy policy e i termini e condizioni chiariscano, in maniera intellegibile e trasparente, finalità e tempo di conservazione delle stesse. Detto altrimenti, FaceApp non sembra essere GDPR compliant nonostante la normativa comunitaria, secondo il disposto dell’articolo 3 del Regolamento, debba trovare applicazione anche in questo caso.

Proprio a proposito di GDPR, dalla lettura della privacy policy dell’applicazione si può facilmente scoprire che:

  • non è indicato il Titolare del trattamento;
  • non si fa riferimento ai diritti riconosciuti agli interessati che utilizzano l’applicazione;
  • le finalità del trattamento sono espresse in modo generico;
  • si comunica vagamente che ai dati dell’utente potranno accedere anche le società affiliate, senza indicare con precisione i motivi. In particolare, si legge che i dati potranno essere utilizzati dalle affiliate per migliorare i loro servizi, senza spiegare quali siano.

Sembra, infatti, che con l’utilizzo di FaceApp si conceda una licenza perpetua, irrevocabile, non esclusiva, esente da diritti, a livello mondiale, trasferibile per utilizzare, riprodurre, modificare, adattare, pubblicare, il contenuto caricato dall’utente.

Le gravi lacune dell’informativa, quindi, non comportano solo una violazione dei principi di trasparenza e correttezza dell’informazione resa all’interessato ma implicano, anche, la negazione dei diritti di cui egli stesso è titolare.

Servizio divertente? Probabile. Necessità di nuove verifiche sull’uso dei dati? Assodato. Agli utenti non resta altro che capire se qualche risata possa dirsi sufficiente per mettere a repentaglio la propria immagine e  non solo.

L’Autorità di controllo tedesca vieta l’uso di Office 365 nelle scuole

Avv. Vincenzo Colarocco

Il commissario distrettuale per la protezione dei dati e la libertà di informazione (HBDI) dello stato dell’Assia (Germania) ha inibito l’uso di Microsoft Office 365 nelle scuole in ragione della scarsa garanzia sulla protezione dei dati personali rappresentata dal servizio.

Già nell’agosto 2017, a seguito di un’indagine sul cloud di Microsoft, la protezione dei dati veniva stimata come insufficiente secondo le regole comunitarie, poiché si appoggiava a server negli Stati Uniti, con ogni conseguenza sul trasferimento dei dati all’estero (si consideri, infatti, come ad oggi il Privacy Shield – decisione di adeguatezza sugli USA – seppur vigente sia al vaglio delle istituzioni comunitarie per la sua rinnovazione).

Nonostante Microsoft abbia dato evidenza di aver spostato i propri server in Europa, il garante tedesco ha comunque scelto di proibire il ricorso a tale servizio proprio in ragione del difetto di trasparenza del Cloud Act: tale normativa consente, infatti, alle autorità statunitensi, alle forze dell’ordine ed alle agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dalla loro collocazione.

Le perplessità sulla compliance del Cloud Act alla normativa europea non giungono solo dalla Germania, ma anche dal Comitato europeo per la protezione dei dati, che ha inviato una lettera di risposta alla commissione per le libertà civili, la giustizia e gli affari interni (LIBE) del Parlamento europeo con una valutazione giuridica sull’impatto Cloud Act degli Stati Uniti sul quadro giuridico europeo della protezione dei dati.

Si resta in attesa di conoscere l’impostazione che intenderanno assumere le autorità di controllo degli altri Paesi membri, le quali, si ricorda, in forza del principio di assistenza e cooperazione introdotto dal GDPR, dovranno motivare compiutamente in caso di avvisi contrastanti ed opposti dal parere tedesco.

Il Vademecum del Garante Privacy per il trattamento dei sati particolari

Avv. Vincenzo Colarocco

A conclusione della consultazione pubblica che è stata avviata lo scorso dicembre, il Garante per la protezione dei dati personali ha adottato il provvedimento n. 146 del 5 giugno 2019 -in fase di pubblicazione sulla Gazzetta Ufficiale- contenente gli obblighi che dovranno essere rispettati da un numero elevato di soggetti –pubblici e privati- appartenenti a diversi settori per poter trattare categorie particolari di dati personali come quelli idonei a rivelare lo stato di salute, le opinioni politiche, l’etnia, l’orientamento sessuale, ecc.

Le prescrizioni riguardano il trattamento di categorie particolari di dati:

  • nei rapporti di lavoro (aut. gen. n. 1/2016);
  • da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. n. 3/2016);
  • da parte degli investigatori privati (aut. gen. n. 6/2016);
  • relative al trattamento dei dati genetici (aut. gen. n. 8/2016);
  • relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016).

Il provvedimento adottato dall’Autorità adegua la normativa nazionale al Regolamento UE 2016/679, del Codice privacy, così come modificato dal D.lgs. 101/2018 e tiene contro dei contributi più significativi e pertinenti inviati dai partecipanti alla consultazione.

Garante Privacy: sì al diritto all’oblio anche se l’interessato non è identificato, ma solo identificabile

Avv. Vincenzo Colarocco

Con provvedimento n. 144 del 20 giugno 2019, il Garante per la protezione dei dati personali (in seguito “Il Garante” o “l’Autorità”) ha fissato un importante principio decidendo sul reclamo di un professionista che aveva, invano, richiesto a Google la deindicizzazione di un Url che risultava reperibile online digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa.

Ebbene, il Garante ha chiarito che, il diritto all’oblio può essere invocato, in casi particolari, anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta.

Nella vicenda de quo, Google aveva opposto rifiuto alla richiesta formulata dall’interessato ex art. 17 del Regolamento UE 2016/679 (in seguito “Regolamento”) di rimuovere l’Url contestato, sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell’Ue nella Sentenza “Google Spain” (causa C-131/12). Precisamente, l’Url oggetto di contestazione faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. La permanenza in rete di tale notizia rappresentava, ad avviso dell’interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.
Diversamente da Google, l’Autorità, in tale specifica circostanza, ha ritenuto fondata la richiesta del professionista.

Invero, nel caso di specie, il Garante ha rilevato che sulla base della definizione di dato personale e, quindi, di “qualsiasi informazione riguardante una persona fisica indentificata o identificabile”, cristallizzata all’art. 4 del Regolamento, l’Url che riportava la qualifica di Presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa.

Per altro verso, l’articolo contestato risultava risalente nel tempo e riguardava un procedimento penale che era stato poi definito con una sentenza di assoluzione.

Conseguentemente ed in conclusione, il Garante ha sottolineato che il pregiudizio subito dall’interessato a causa della reperibilità sul web dell’Url in questione, non poteva che ritenersi bilanciato da un interesse della collettività a conoscere informazioni che risultavano inesatte e non aggiornate alla luce degli sviluppi procedimentali avuti poi dalla vicenda.

Il Garante ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.

Direttiva PSD2: l’autenticazione forte diventa d’obbligo

Avv. Vincenzo Colarocco

La Direttiva (UE) 2015/2366 del Parlamento e del Consiglio Europeo del 25 novembre 2015, entrata in vigore il 13 gennaio 2018, relativa ai servizi di pagamento nel mercato interno, meglio nota come Payment Services Directive 2 (PSD2) ha introdotto sostanziali novità nell’ambito dell’autenticazione del cliente di prestatori di servizi di pagamento.

A partire dal 14 settembre 2019 p.v., infatti, tutti gli Istituti Bancari operanti nel mercato Europeo dovranno adeguare le misure di autenticazione con l’obiettivo di aumentare la sicurezza online degli utenti. Più precisamente, viene introdotta la “Strong Customer Authentication” (nota anche come “Autenticazione Forte”) definita come “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”. Questo sistema di sicurezza aggiuntivo permette di identificare e autenticare in maniera univoca il cliente, riducendo i rischi legati all’accesso ai propri conti online e all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati. Pertanto, anche le piattaforme e-commerce dovranno implementare le proprie procedure di pagamento con sistemi di autenticazione innovativi quando il pagatore ad esempio, i) accede al suo conto di pagamento online; ii) avvia un’operazione di pagamento elettronico e/o iii) compie un’azione, attraverso un mezzo di comunicazione a distanza, che può comportare un rischio di frode nei pagamenti o qualsiasi altro uso fraudolento.

Fidelity card: senza il consenso è illecito inviare comunicazioni commerciali

Avv. Vincenzo Colarocco

Con una recente pronuncia del 20 giugno 2019, il Garante è tornato a ribadire l’illiceità del trattamento finalizzato all’invio di comunicazioni commerciali nei riguardi de possessori di carta fedeltà qualora il detto trattamento non trovi il proprio fondamento giuridico nel rilascio di un consenso libero e specificamente correlato alla descritta finalità.

Il caso di specie, che si sostanzia in accadimenti antecedenti all’applicazione del Regolamento UE 679/2016 (“GDPR”), prende le proprie mosse da alcune segnalazioni inviate all’Autorità Garante (delle quali, la prima datata 15 giugno 2017 e l’ultima 8 settembre 2017), con le quali un’interessata lamentava la ricezione di comunicazioni promozionali mediante posta elettronica da parte di Mediamarket s.p.a. (titolare del marchio “Mediaworld”, di seguito anche la “Società”), in assenza del necessario consenso e nonostante la reiterata opposizione manifestata dall’interessata medesimi ai sensi degli art. 7 ss. della versione previgente del Codice Privacy.

A seguito della conseguente istruttoria avviata dall’Autorità, emergeva principalmente che:

  1. i) i dati personali (e in particolare l’indirizzo di posta elettronica) relativi alla segnalante sarebbero stati raccolti in occasione della sottoscrizione, nel 2007 e nel 2009, da parte della stessa, di due carte fedeltà “Saturn” (brand riconducibile alla medesima Società e successivamente oggetto di un’operazione di re-branding a vantaggio del marchio “MediaWorld”);
  2. ii) la Società non aveva richiesto agli interessati, limitatamente al modulo a marchio “Saturn”, un consenso specifico per le finalità promozionali, bensì un unico consenso per tali finalità nonché per finalità diverse e riconducibili alla gestione contrattuale e paracontrattuale;

iii)       il sistema informativo della Società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di comunicazioni commerciali.

In forza delle descritte evidenze il Garante osservava che, in assenza dell’acquisizione di uno specifico consenso per le finalità di marketing, i dati raccolti dal titolare per l’erogazione di alcuni servizi venivano di fatto piegati alla diversa finalità di invio di messaggi promozionali; tanto in violazione, oltre che del principio del consenso libero e specifico di cui agli artt. 23 e 130 del Codice, anche dei principi di correttezza e finalità del trattamento dei dati personali, ribaditi all’art. 5, par. 1 e 2, del GDPR.

A conclusione del provvedimento in analisi. il Garante ammoniva la Società a non utilizzare più, per finalità di marketing, i dati personali degli interessati raccolti mediante i moduli relativi alla fidelity card contestata. In più, vietava alla Società di trattare, per la medesima finalità, dati personali di eventuali interessati per i quali non fosse stato rilasciato un comprovato consenso libero e specifico, ingiungendola, inoltre, ad implementare misure tecniche ed organizzative al fine di garantire una corretta gestione delle richieste di esercizio dei diritti da parte degli interessati (in particolare per quanto attiene al diritto di opposizione di cui all’art. 21 del GDPR).