Concorsi online e web radio: no alla profilazione occulta
Stop alla profilazione occulta degli ascoltatori che si registrano sui siti delle web radio per pubblicare video, foto, brani musicali e partecipare a concorsi a premi on line, votando i contenuti preferiti.
Il Garante ha vietato ad una società che gestisce i siti web di quattro emittenti radiofoniche a livello nazionale il trattamento dei dati personali degli ascoltatori raccolti in modo illecito. Da accertamenti ispettivi avviati dall’Autorità nei confronti di società che effettuano concorsi a premi online, sono emerse infatti una serie di criticità, tra cui l’uso senza consenso dei dati degli iscritti alle community. Le informazioni venivano utilizzate dalla società in particolare per studiare i loro gusti e le loro abitudini.
Nei form di registrazione presenti sui siti delle quattro emittenti che gli utenti dovevano compilare per partecipare ai concorsi e registrarsi alle community, era presente un’unica casella, barrando la quale si autorizzava l’uso dei dati per diversi scopi: per la fornitura del servizio, per il trasferimento dei propri dati a tutte le società appartenenti al gruppo, per l’ invio di comunicazioni commerciali e per le operazioni di profiling. La normativa sulla privacy stabilisce invece che il consenso non può avere carattere generico: gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine ad ogni trattamento dei propri dati. Non solo: nel modulo di registrazione mancava anche l’indicazione dei soggetti ai quali i dati degli utenti sarebbero stati comunicati, informazione invece espressamente richiesta dal Codice privacy.
Nel vietare il trattamento dei dati, (con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti), il Garante ha quindi prescritto alla società di riformulare il modulo di registrazione con l’obbligo di garantire agli utenti la possibilità di prestare consensi differenziati. E di modificare l’informativa, indicando chiaramente le categorie di soggetti cui possono essere comunicati i dati.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Chiaravalloti;
PREMESSO
ATTIVITÀ ISPETTIVA
L’Autorità ha avviato, a partire dal mese di settembre 2008, una serie di accertamenti ispettivi nei confronti di società che effettuano concorsi a premi online, tramite individuazione casuale sui motori di ricerca.
Nell’ambito di questa attività, è stata oggetto di accertamento ispettivo Radio studio 105 s.r.l , in data 23 dicembre 2008. L’istruttoria preliminare, avviata d’ufficio con una richiesta di informazioni ai sensi dell’art. 157 del d.lg. 30 giugno 2003 n. 196 (d’ora in avanti “Codice”), è stata effettuata al fine di valutare il rispetto della normativa in materia di protezione dei dati personali e, in particolare, l’osservanza delle disposizioni relative al rilascio di idonea informativa agli interessati e all’acquisizione di un preventivo consenso per ogni trattamento posto in essere.
Nel corso di tale ispezione sono emerse alcune criticità in ordine all’individuazione del titolare dei trattamenti dei dati personali degli utenti che si iscrivevano al sito web www.105.net o che immettevano i propri dati nel medesimo sito per partecipare al concorso “Summer Compilation”. Nel primo caso, infatti, l’informativa resa agli utenti, di cui è stata acquisita copia nel corso dell’attività ispettiva, indica che i dati sono “utilizzati da United Music S.r.l”, mentre in altre sezioni della medesima informativa viene affermato che il “titolare del trattamento è Gruppo Finelco S.p.a.”.
Nel secondo caso, ossia nell’ipotesi in cui i dati personali degli utenti siano stati acquisiti nell’ambito del concorso “Summer Compilation”, pubblicizzato sul sito web www.105.net, l’informativa riporta come titolare del trattamento “United Music S.r.l.”.
Nel corso dell’accertamento ispettivo, la società ha dichiarato invece che “la titolarità dei trattamenti dei dati personali è del Gruppo Finelco S.p.a., al quale fa capo “Radio Studio 105 s.r.l.”” (cfr. verbale del 23 dicembre, foglio n.2).
A seguito della rilevazione di tali ambiguità nell’individuazione del titolare dei trattamenti posti in essere attraverso il portale www.105.net, l’Autorità ha ritenuto necessario, nell’ottobre 2009, avviare un ulteriore accertamento ispettivo anche nei confronti di Gruppo Finelco s.p.a., società che controlla diverse aziende, tra cui Radio Studio 105 s.r.l., RMC Italia s.r.l., Virgin Radio Italy s.p.a., United Music s.r.l.
TITOLARITÀ DEI TRATTAMENTI
Nel corso dell’ispezione effettuata in data 16 febbraio 2010, Gruppo Finelco s.p.a. si è dichiarata titolare dei trattamenti di dati personali posti in essere dalle società controllate, ivi comprese quelle sopra citate.
In una successiva nota inviata all’Autorità il 19 aprile 2010, Gruppo Finelco s.p.a. ha ulteriormente chiarito che “la società United Music S.r.l. è una società del Gruppo Finelco S.p.a. che si occupa prevalentemente della gestione dei siti internet delle emittenti radiofoniche – www.105.net; www.radiomontecarlo.net; www.105.classics.net; www.unitedmusic.it; e della profilazione degli utenti registrati alle diverse “community” ed alle varie iniziative commerciali ed ai concorsi effettuati dalle emittenti radiofoniche del Gruppo (Radio 105 e Radio Montecarlo)”.
Nella medesima nota è altresì precisato che “a partire dall’anno 2009, per poter uniformare tutte le procedure relative al trattamento dei dati personali in conformità al D.Lgs. 196/2003 si è iniziato (da marzo 2009) a indicare nelle diverse informative sulla “Privacy” presenti sui siti internet, per le iniziative commerciali dirette e per i concorsi, quale titolare del trattamento dei dati personali raccolti – al posto delle diverse società (tra cui la United Music S.r.l.) – il Gruppo Finelco S.p.A. (…). Tale scelta si è resa peraltro necessaria anche in quanto il Gruppo Finelco S.p.A. in data 02.01.2009 ha operato la centralizzazione presso la sua struttura di alcuni servizi per le società appartenenti al Gruppo, tra cui quello relativo al sistema EDP, alla gestione delle connessioni ad Internet, al trattamento in qualità di titolare delle banche dati in conformità al D.Lgs. n. 196/2003″.
A fronte di tali dichiarazioni, Gruppo Finelco s.p.a. ha anche fornito copia del contratto di fornitura stipulato con United Music s.r.l. nel quale è previsto, proprio nell’ottica sopradetta di “centralizzazione” di alcuni servizi, che Gruppo Finelco s.p.a. subentri, al posto di United Music s.r.l., nella titolarità del trattamento dei dati personali contenuti nelle banche dati degli utenti iscritti ai siti web www.105.net, www.radiomontecarlo.net, www.unitedmusic.it.
In ragione di quanto detto, Gruppo Finelco s.p.a. risulta il titolare dei trattamenti di dati personali effettuati mediante i sopra citati siti web a partire dal mese di marzo 2009, come dichiarato dalla medesima società.
Prima di questa data, invece, il titolare dei trattamenti di dati personali acquisiti attraverso i siti web www.105.net, www.radiomontecarlo.net, www.unitedmusic.it era, secondo le dichiarazioni della società, United Music s.r.l.
La qualifica di titolare dei trattamenti dei dati personali acquisiti attraverso il sito web www.virginradio.it – anche questi oggetto di accertamenti ispettivi e istruttori da parte di questa Autorità – risulta, invece, essere sempre stata rivestita da Gruppo Finelco s.p.a.
NOTIFICAZIONE DEL TRATTAMENTO
Dalle risultanze dell’istruttoria svolta, è emerso che United Music s.r.l., in qualità di titolare del trattamento dei dati personali acquisiti attraverso i siti web www.105.net, www.radiomontecarlo.net, www.unitedmusic.it sino al mese di marzo 2009, ha notificato a questa Autorità, ai sensi dell’art. 37 comma 1 lett. d) del Codice, il trattamento di dati personali a fini di profilazione, in data 13 giugno 2006.
Peraltro, prima del passaggio della titolarità del trattamento dei dati da United Music s.r.l. a Gruppo Finelco s.p.a., la società cedente avrebbe dovuto notificare l’avvenuta cessazione del trattamento, come prescrive la norma di cui all’art. 38, comma 4 del Codice, mentre la società cessionaria avrebbe dovuto notificare l’inizio del medesimo trattamento.
Tali adempimenti non sono però stati posti in essere. Solo in data 14 aprile 2010, Gruppo Finelco, successivamente, quindi, alla contestazione effettuata per omessa notificazione, ha provveduto all’adempimento in questione.
CONSENSO
Dall’esame degli atti acquisiti nella fase istruttoria, relativi ai diversi form di raccolta del consenso degli utenti al trattamento dei propri dati personali, presenti sui diversi portali gestiti da Gruppo Finelco s.p.a., si riscontrano alcune violazioni della normativa in materia di protezione dei dati personali.
Nei form acquisiti nel corso degli accertamenti ispettivi e che, a quella data, risultavano presenti sul sito web www.105.net, è richiesto agli interessati un unico consenso – il cui rilascio è peraltro obbligatorio – al trattamento dei propri dati per diverse finalità. Questa caratteristica è rinvenibile sia nel form di registrazione alla “community” del portale, sia in quello di partecipazione al concorso “Summer Compilation”.
In particolare, è richiesto all’utente, mediante la selezione del pulsante “Accetto”, un unico consenso al trattamento dei suoi dati personali per le finalità strettamente necessarie alla fornitura del servizio, per il trasferimento dei propri dati a tutte le società facenti parte della Gruppo Finelco s.p.a. e per il trattamento dei dati per l’invio di comunicazioni commerciali da parte di Gruppo Finelco s.p.a., nonché per “operazioni di profiling” i cui risultati possono essere comunicati a Società del gruppo ed ai partners commerciali.
Se l’utente non presta tale consenso, non può registrarsi al sito web.
In modo distinto è invece richiesto uno specifico e facoltativo consenso per la comunicazione dei dati personali dell’utente a terzi, finalizzata all’invio di messaggi promozionali “mediante posta, telefono, posta elettronica, sms, mms” nonché per effettuare analisi statistiche e sondaggi.
Le medesime caratteristiche sono peraltro rinvenibili anche nel form di registrazione al sito web www.unitedmusic.it, www.radiomontecarlo.net e in quello di registrazione al sito web www.virginradioitaly.it.
Alla luce della documentazione acquisita e considerate le osservazioni formulate da Gruppo Finelco s.p.a., questa Autorità ravvisa alcuni profili di violazione della disciplina vigente in relazione al trattamento dei dati personali effettuato nell’ambito dei servizi offerti tramite i diversi siti web sopra citati, appartenenti a Gruppo Finelco s.p.a.
Il titolare del trattamento deve anzitutto prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l’interessato (consenso che è invece sollecitato nella modulistica presente on line), trattamenti per i quali il consenso non è richiesto (art. 24, comma 1, lett. b) del Codice).
Emergono, poi, profili di illiceità in ordine al rispetto di alcune delle condizioni previste dall’art. 23 (in forza del quale “il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato”).
Esaminando i form per la raccolta del consenso presenti sui siti web www.105.net, www.radiomontecarlo.net, www.virginradioitaly.it, www.unitedmusic.it, i consensi per il trattamento dei dati personali per finalità di marketing, di profilazione e per la cessione dei dati personali a terzi non sono distinti da quello richiesto (non correttamente, come si è rilevato) per conferire i dati indispensabili per la prestazione del servizio.
In questi casi, quindi, non soltanto non è lasciata all’interessato la possibilità di prestare un consenso specifico per ciascuna finalità perseguita dal titolare del trattamento ma, inoltre, l’unico consenso richiesto non può neanche definirsi liberamente prestato dall’utente, dal momento che la registrazione al sito web o la partecipazione ad un concorso sono subordinati all’autorizzazione dell’interessato di trattare i propri dati personali per finalità diverse, quali sono quelle promozionali, di profilazione e di cessione dei dati ad altre società per ulteriori scopi.
Come più volte rilevato da questa Autorità, (Provv. 12 ottobre 2005 , doc. web n. 1179604; Provv. 3 novembre 2005 , doc. web n. 1195215; Provv. 10 maggio 2006 , doc. web n. 1298709; Provv. 31 gennaio 2008, doc. web n. 1490553 in http://www.garanteprivacy.it), non può definirsi “libero”, e risulta indebitamente necessitato, il consenso ad ulteriori trattamenti dei dati personali che l’interessato “debba” prestare quale condizione per conseguire una prestazione richiesta.
Peraltro, inserendo tra le condizioni generali di contratto ulteriori finalità di marketing, di profilazione e di comunicazione di dati a terzi, i dati personali raccolti lecitamente dal titolare (e conferiti dall’interessato) per l’esecuzione del rapporto contrattuale vengono di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice).
Non è quindi conforme ai criteri di liceità e correttezza nel trattamento dei dati personali la scelta di Gruppo Finelco s.p.a. di raccogliere un consenso per eseguire ordinarie obbligazioni contrattuali (art. 24, comma 1, lett. b), del Codice) e collegarlo, altresì, ad altre finalità del trattamento (art. 23, comma 3, del Codice).
INFORMATIVA
Infine si rileva che nei form di raccolta del consenso, presenti su tutti i siti web finora citati, è riportato, contestualmente, anche il testo dell’informativa, resa ai sensi dell’art. 13 del Codice.
Quest’ultima, il cui testo – relativamente alla sezione dedicata alle finalità del trattamento – è il medesimo per tutti i siti web finora citati, non indica in modo chiaro e preciso le categorie di soggetti cui siano comunicati i dati.
E’ opportuno infatti precisare che nel caso di trasferimento di dati personali a società appartenenti allo stesso gruppo del titolare che siano state nominate “responsabili del trattamento” ai sensi dell’art. 29 del Codice, non è necessario richiedere alcun consenso, in quanto i responsabili del trattamento operano per nome e per conto del titolare, secondo finalità e modalità impartite da quest’ultimo.
Nel caso, invece, di cessione di dati personali ad altri soggetti (ad esempio i “partners commerciali”), non solo, come già detto, deve essere richiesto specifico e libero consenso all’interessato, ma è necessario anche che questi, mediante idonea informativa, sia reso edotto almeno della categoria di soggetti cui sono trasmessi i suoi dati personali, secondo quanto previsto dall’art. 13, comma 1, lett. d).
In mancanza di tale indicazione, l’informativa resa deve considerarsi inidonea, come già affermato da questa Autorità in diverse occasioni (Provv. 26 giugno 2008, doc. web n. 1544326; Provv. 25 giugno 2009, doc. web n. 1629107).
Per tutte le ragioni sopra indicate, il trattamento di dati personali posto in essere da Gruppo Finelco s.p.a. tramite i siti web www.105.net, www.radiomontecarlo.net, www.unitedmusic.it e www.virginradioitaly.it risulta illecito per violazione delle norme di cui agli artt. 11, 13 e 23 del Codice.
E’ in ogni caso riservata, con autonomo procedimento, la verifica dei presupposti per contestare al predetto titolare del trattamento le eventuali violazioni amministrative di competenza di questa Autorità.
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara illecito e, contestualmente, vieta – ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice – il trattamento di dati personali posto in essere da Gruppo Finelco s.p.a., con sede legale in Milano, largo Donegani 1, in relazione al:
1) trattamento dei dati personali degli utenti che si sono iscritti ai siti web www.105.net, www.radiomontecarlo.net, www.unitedmusic.it, www.virginradioitaly.it, finalizzato all’invio di comunicazioni commerciali, ad operazioni di profilazione e alla comunicazione a terzi dei dati personali senza aver ottenuto un consenso specifico, libero e informato;
2) trattamento dei dati personali degli utenti acquisiti attraverso il sito web www.105.net per partecipare al concorso “Summer Compilation”, finalizzato all’invio di comunicazioni commerciali, ad operazioni di profilazione e alla comunicazione a terzi dei dati personali senza aver ottenuto un consenso specifico, libero e informato;
b) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a Gruppo Finelco s.p.a. – in qualità di titolare attuale dei trattamenti posti in essere tramite tutti i predetti siti web – di adottare tutte le misure necessarie e opportune al fine di rendere il trattamento dei dati personali conforme alle disposizioni vigenti e, in particolare:
1) modificare i form di raccolta dei dati personali sui siti web www.105.net, www.radiomontecarlo.net, www.unitedmusic.it e www.virginradioitaly.it, inserendo la richiesta agli interessati di un preventivo consenso distinto e facoltativo per ciascuna finalità perseguita in relazione al trattamento posto in essere;
2) modificare l’informativa dei siti web www.105.net, www.radiomontecarlo.net, www.virginradioitaly.it, www.unitedmusic.it, indicando specificamente le categorie di soggetti cui possono essere comunicati i dati personali degli interessati;
c) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a United Music s.r.l., con sede legale in Milano, via Turati 9, di effettuare la notificazione a questa Autorità per l’avvenuta cessazione del trattamento dei dati personali a fini di profilazione, posto in essere attraverso i siti web www.105.net, www.radiomontecarlo.net e www.unitedmusic.it.
Roma, 22 luglio 2010
IL PRESIDENTE
Pizzetti
IL RELATORE
Chiaravalloti
IL SEGRETARIO GENERALE
De Paoli