La domanda di Sergio.
Buongiorno, tre mesi fa ho inviato delle email per “pubblicizzare” una rappresentazione nel nostro teatro ad una lista di email che ho trovato su internet. Ora un signore ha fatto reclamo al Garante per la privacy e non so cosa fare. Io al signore ho risposto di aver cancellato la sua email e di averla trovata su Internet, ma ieri mi ha scritto anche il Garante.
Leggo però che l’invio delle e-mail non è un reato: https://www.italiaoggi.it/news/lo-spamming-non-e-reato-anche-dopo-gdpr-2393718
Cosa rischio ora?
Non dormo da giorni per questa cosa.
Vi ringrazio e vi saluto cordialmente Sergio
La risposta del Dott. Marco Trombadore, Delegato regione Lazio di ASSO DPO, Consulente privacy e DPO, Amministratore Unico di MTS CONSULENZE Srl.
Ringraziamo l’utente per la cortese richiesta
Di regola l’inoltro mezzo posta elettronica di messaggi di natura commerciale è consentito con il consenso preventivo del soggetto interessato che riceve tale comunicazione.[1]
Il titolare deve sempre essere in grado di dimostrare che l’interessato ha prestato il proprio consenso[2], che è valido se: è preceduto da idonea informativa ex artt.13 o 14 Gdpr ed è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, è stato espresso specificamente con riguardo a ciascuna di esse.
Inoltre, Il consenso deve essere sempre revocabile.
Quanto sopra è riportato anche Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348] nelle quali è espressamente ribadito che senza il consenso preventivo non è possibile inviare comunicazioni promozionali, neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque.[3]
Esistono anche alcune semplificazioni per le quali il titolare del trattamento che utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni.
Deve essere comunque garantita all’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata, la possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente. Ad esempio, tramite sistemi automatizzati di revoca dello stesso.[4]
Il caso sottoposto rappresenta una raccolta di dati personali da siti internet per finalità di promozione commerciale tramite l’invio di mailing agli indirizzi raccolti senza un consenso specifico degli interessati, senza una preventiva informativa, e più in generale in mancanza di un pieno rispetto dei principi cardine delle normative in tema di protezione dati personali.
La condotta sommariamente riportata sembra rappresentare una violazione di diverse disposizioni normative, tra cui gli articoli 5, 13, 6, 7 GDPR oltre che 130.
Fermo restando che le poche informazioni relative al caso di specie non permettono una maggiore analisi di dettaglio e che le valutazioni puntuali saranno rimesse, come è ovvio che sia all’Autorità Garante per la protezione dei dati personali la violazione ipotizzata può essere fonte di sanzioni amministrative. [5]
E’ bene ricordare che al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa sono valutati molteplici fattori, ad esempio: a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati.[6]
In relazione alla sentenza indicata dal gentile utente, è bene chiarire che tale atto si riferisce alla specifica fattispecie prevista dall’art 167 del D.lgs 196/2003 relativa al reato di trattamento illecito, e non alle violazioni amministrative legate all’inoltro illegittimo di comunicazioni commerciali.
[1] Cfr. art. 130 comma 1 e 2 D.lgs 196/03 “Codice in materia di protezione dei dati personali”
[2] Art.7 Gdpr
[3] Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348
[4] Art. 130 comma 4 D.lgs 196/03 “Codice in materia di protezione dei dati personali”
[5] Art. 83, 84 Gdpr
[6] Art.83 Gdpr
Dott. Marco Trombadore
Delegato regione Lazio di ASSO DPO
Consulente privacy e DPO
Amministratore Unico di MTS CONSULENZE Srl.
Alcune delle foto presenti su Privacyitalia.eu potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy
Con il sostegno di:
