di Gabriella Lax - Nella relazione del 2018 del Garante per la protezione dei dati personali c'è spazio anche per la discussione circa "Invio di comunicazioni a contenuto promozionale agli indirizzi Pec dei liberi professionisti".
Il caso
L'Autorità ha vietato a una società e a un'associazione ad essa collegata l'invio di e-mail promozionali indesiderate a liberi professionisti, soprattutto avvocati, utilizzandone gli indirizzi di posta elettronica certificata (provv. 1° febbraio 2018, n. 52, doc. web n. 7810723). Dopo le segnalazioni alle fiamme gialle, è emerso che alcuni collaboratori volontari dell'associazione e una società terza avevano scovato online, gli indirizzi Pec di avvocati e altri liberi professionisti.
La società aveva poi spedito comunicazioni a contenuto promozionale utilizzando tali recapiti, inviando 800.000 e-mail. Nel caso di specia, la relazione chiarisce che gli indirizzi: «Oltre ad essere stati trattati senza il necessario consenso, gli indirizzi pec sono risultati rastrellati massivamente (cd. web scraping) mediante appositi software da varie fonti presenti sul web: il registro Ini-Pec (ridenominato "Indice nazionale dei domicili digitali" a seguito del decreto legislativo n. 217/2017); il sito www.registroimprese.it; gli elenchi pubblicati da alcuni ordini professionali provinciali».
Garante: le Pec non si usano per il marketing
Questa condotta è stata ritenuta in contrasto con la normativa di settore, e in particolare con: l'art. 6-bis, comma 1, d.lgs. n. 82/2005 (Codice dell'amministrazione digitale - Cad, introdotto dall'art. 5, comma 3, d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 22), secondo il quale «la finalità di tali indirizzi consiste nel "favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica"; l'art. 16, comma 10, d.l. n. 185/2008 (convertito, con modificazioni, in legge 28 gennaio 2009, n. 2), in base al quale l'estrazione di elenchi di indirizzi di posta elettronica certificata contenuti nel registro delle imprese o negli albi o elenchi "è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza"».
Non solo. Il Garante per la protezione dei dati personali specifica che, rispetto all'invio delle comunicazioni elettroniche di cui sopra, «considerato il loro contenuto promozionale, l'associazione e la società, in qualità di cotitolari del trattamento, avrebbero dovuto acquisire il consenso informato degli interessati ai sensi degli artt. 13, commi 1 e 4, 130, commi 1 e 2, e 23, d.lgs. n. 196/2003. L'Autorità ha inoltre ha ribadito che la necessità del previo consenso informato dell'interessato sussiste anche quando i dati personali (come, nella fattispecie, una parte degli indirizzi di posta elettronica destinatari delle comunicazioni in parola) siano rinvenibili in altri registri o elenchi pubblici (quali quelli disponibili sul sito www.registroimprese.it o sui siti web istituzionali degli ordini provinciali delle categorie professionali), in quanto l'agevole reperibilità degli stessi non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione. In ogni caso, non viene meno «l'illiceità del trattamento in ragione dell'inserimento nelle e-mail indesiderate di un link per la cancellazione dalla mailing list, poiché il consenso richiesto (salvo per le ipotesi di cui all'art. 130, comma 4, d.lgs. n. 196/2003, cd. soft spam) deve essere legittimamente acquisito anteriormente all'invio delle comunicazioni promozionali.
Nel caso non sono state ritenute valide le argomentazioni addotte a sostegno della correttezza del proprio operato dalla società e dall'associazione, che hanno dichiarato di sentirsi «esentate dalla richiesta del consenso preventivo sulla base della presunta natura "istituzionale" delle comunicazioni (e in particolare, su riconoscimenti e patrocini ricevuti da parte degli Ordini professionali di appartenenza degli interessati), non potendo ritenersi tali circostanze idonee a surrogare il necessario consenso informato da parte dei singoli interessati, cui fa capo il diritto alla protezione dei dati personali riconosciuto dal legislatore». Come ha precisato il Garante, le email avevano in realtà carattere promozionale, poiché l'obiettivo era favorire le attività dell'associazione connesse alla figura di "consulente reputazionale", e quindi dovevano essere inviate nel rispetto delle regole previste dal decreto legislativo n. 196/2003 e dalle citate Linee guida in materia di attività promozionale. L'Autorità ha vietato alla società e all'associazione l'ulteriore illecito trattamento dei dati dei professionisti e ne ha prescritto, in ragione dell'origine illecita, la cancellazione, riservandosi di valutare i correlati profili sanzionatori.
• Foto: 123rf.com