Home » Blog » I Contratti di fornitura di liste di nominativi da utilizzare a fini di marketing

  • I Contratti di fornitura di liste di nominativi da utilizzare a fini di marketing

    Pubblicato il 9 giugno 2012 da

    E’ decisamente interessante, per i molteplici profili toccati dalla pronuncia, il provvedimento del Garante Privacy reso in data 5 aprile 2012, in ordine ad un trattamento di dati personali tratti da un questionario on line.

    La decisione, sollecitata dalla segnalazione di un privato cittadino, muove dalla presa d’atto dell’assenza di valido consenso ed informativa al momento della raccolta dei dati, avvenuta da parte di una società di telemarketing, che, attraverso la compilazione di questionari on line, raccoglieva dati destinati a confluire in banche dati che venivano offerte ad altre società intenzionate a porre in essere attività di vendita diretta.

    Lasciando da parte gli aspetti riferiti all’acquisizione del consenso informato (assodato che non era stato validamente prestato dagli interessati ed idoneamente documentato da parte della società di marketing) si vuole portare l’attenzione del lettore sulla seconda parte del provvedimento, ove si indaga sulla responsabilità della seconda società coinvolta nel trattamento illecito, ossia la società di servizi che aveva acquisito la banca dati- definita committente nel contratto di fornitura di contatti.

    In estrema sintesi l’acquisto era avvenuto attraverso la stipula di un contratto di fornitura di liste di nominativi. Nel contratto erano contenute alcune rilevanti specificazioni: innanzi tutto era chiaramente indicata, quale titolare autonomo dei dati, la sola società di marketing che dichiarava di aver preventivamente (e validamente) raccolto il consenso per l’utilizzo ai fini commerciali.

    Quest’ultima per svolgere l’attività di venditadiretta richiesta dalla società di servizi, utilizzava i teleseller di quella, appositamente nominandoli responsabili del trattamento “non prevedendosi alcuna comunicazione o accesso … alle informazioni”, da parte della acquirente che si sarebbe limitata, invece, “a dettare … i criteri di individuazione dei nominativi da contattare senza alcuna ingerenza nel trattamento dei relativi dati”.

    Era anche inserita nella scrittura una clausola di manleva con la quale la società di marketing esonerava espressamente la società acquirente dalle eventuali responsabilità che sarebbero potute scaturire dal trattamento, anche in ordine a provvedimenti dell’Autorità Garante o giudiziaria.

    Ebbene, il Garante non si ferma innanzi alla pattuizione contrattuale, ma indaga circa la sua corrispondenza al reale atteggiarsi delle due società rispetto al trattamento dei dati personali effettuato, finendo con il determinare che anche la società acquirente deve qualificarsi come Titolare del trattamento dei dati personali dei destinatari delle iniziative commerciali adottate in suo nome e per suo conto. A questa società competono, infatti, le decisioni di cui all’art. 4, comma 1, lett. f), del Codice. E, come tale, essa non andrà esente da responsabilità per i profili di illegittimità rilevati.

    Sono interessanti gli elementi dai quali il Garante evince la titolarità e la responsabilità connessa.
    Innanzi tutto richiama il proprio provvedimento del 15 giugno 2011, n. 230, in materia di “titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali”. In esso, secondo l’Autorità, sono stati evidenziati gli indici che, in termini concreti, consentono di riconoscere la qualifica di titolare:
    1) al soggetto che venga percepito come tale dall’interessato (in tal senso, la segnalazione del sig. XY);
    2) al soggetto che benefici del contatto promozionale, inteso quale antecedente logico dell’instaurando vincolo contrattuale tra la stessa Società e l’utente;
    3) a quello che disciplini, regolamentandoli nel dettaglio, modalità, compiti, ruoli e procedure dell’attività di telemarketing.

    Il Garante evidenzia come nella fattispecie sottoposta al suo esame, fin dalle disposizioni del contratto, si è evinto che alla Società
    acquirente “compete la scelta in ordine ai criteri di individuazione dei nominativi da contattare, dunque alle modalità del trattamento; che, inoltre, i teleseller agiscono “in qualità di responsabili del trattamento come da nomina diretta” da parte della società fornitrice “e secondo le indicazioni che la stessa comunicherà direttamente, fatte salve le intese con il committente”; che, poi, compete alla acquirente stessa “mettere a disposizione -della fornitrice, ndr- la piattaforma informatica che sarà necessaria  per consentire -alla fornitrice ndr- la comunicazione ai teleseller dei dati provenienti dall’archivio”.

    Secondo l’Autorità, pertanto, “Sono pattiziamente fissati i principi per i quali i contraenti disciplinano congiuntamente le modalità di effettuazione delle chiamate e le fasce orarie prescelte e si obbligano alla preventiva condivisione delle regole (“script”) da utilizzare per lo svolgimento delle attività.”

    Inoltre il Garante evidenzia come si fosse convenuto che il teleseller, in caso di esercizio del diritto di opposizione da parte dei soggetti contattati, comunicasse settimanalmente alla fornitrice le cancellazioni da effettuare a mezzo del committente (cioè la
    società acquirente).

    L’autorità inoltre rileva come il contratto disciplinasse anche la trasmissione all’acquirente delle richieste di coloro che avrebbero aderito alle offerte prospettate, attività che competeva ai “responsabili del trattamento” <<ancorché con l’ininfluente cautela derivante dal fatto che quei dati “verranno di seguito immediatamente cancellati”>>.

    Un ulteriore elemento dal quale l’Autorità trae la titolarità del trattamento è costituito proprio dalla clausola di manleva, sopra
    accennata. Essa stava a dimostrare, secondo il Garante, la piena consapevolezza della possibile attribuzione di responsabilità alla
    società committente per fatti connessi alla gestione dei dati acquistati.

    Infine il Garante considera come sia stata la stessa società acquirente ad ammettere che, a seguito della ricezione della segnalazione, “ha provveduto “a cancellare, conformemente alla volontà manifestata dall’utente, tutti i riferimenti riconducibili
    all’interessato dalle proprie banche dati” dando così esplicita conferma che, diversamente da quanto previsto nel contratto, le
    informazioni personali del Sig. XY, presenti all’interno degli archivi della società, costituivano oggetto di trattamento anche da parte di quest’ultima.

    Il Garante  conclude: “D’altro canto diversamente argomentando, anche avuto riguardo ad un punto di vista squisitamente contrattuale, ci si troverebbe di fronte ad una pattuizione (…) nella quale il sinallagma proprio del negozio giuridico posto in essere (e cioè la fornitura, verso corrispettivo, delle liste di dati personali di interessati che hanno acconsentito alla ricezione di iniziative di carattere commerciale) risulterebbe di fatto alterato, dal momento che quei dati sarebbero destinati, nella formale volontà dei contraenti, a permanere nella sfera giuridica del soggetto fornitore.

    Questi, infatti, si limiterebbe a riversarli ai propri responsabili, senza possibilità alcuna per l’acquirente di poterne disporre, nonostante il pagamento del relativo prezzo; con l’innegabile vantaggio di tenere indenne”l’acquirente “da oneri, obblighi e responsabilità connessi all’esercizio della titolarità.

    In tale situazione, tuttavia, l’oggetto stesso del contratto risulterebbe illecito poiché si realizzerebbe in tal modo un indiretto
    risultato elusivo delle norme imperative del Codice che disciplinano, appunto, obblighi, oneri e responsabilità del titolare del trattamento di quelle informazioni.

    In realtà invece, e per tutti i motivi evidenziati, la disciplina pattizia non corrisponde al reale atteggiarsi dei rapporti, ivi
    compresi quelli rilevanti in materia di protezione dei dati personali”.

    In chiusura l’Autorità nel qualificare dunque anche la società acquirente titolare del trattamento dei dati personali del segnalante
    ritiene di specificarne la responsabilità anche attraverso un richiamo, per analogia, alle cautele poste per l’acquisto di banche
    dati formate da indirizzi di posta elettronica.

    Prosegue infatti il provvedimento: “con l’effetto che, in tale accertata qualità, a questa società sono da ritenersi applicabili le specifiche prescrizioni adottate dal Garante nel menzionato provvedimento generale del 29 maggio 2003, segnatamente quelle relative alla fattispecie dell’acquisto di banche dati ed, in particolare, il principio per il quale “chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario”.

    Non v’è dubbio che il medesimo principio debba essere applicato anche con riguardo alle attività promozionali effettuate utilizzando mezzi diversi dalla posta elettronica (nella fattispecie in esame, le telefonate con operatore), che sono vincolate all’obbligo della preventiva acquisizione del consenso dell’interessato.”

    Il Garante, pertanto, costruendo una intricata trama di richiami a propri provvedimenti sostenuta da costante ricorso all’applicazione per analogia, finisce con il destrutturare la complessa architettura contrattuale realizzata dalle parti, in un ambito nel quale, peraltro, le norme non brillano per chiarezza formale, per portare alla luce la realtà sostanziale del rapporto, in ordine al trattamento dei dati personali, e ricondurre, sulla base dell’atteggiamento concretamente assunto dai soggetti coinvolti, alla corretta individuazione della titolarità del trattamento stesso.

    Sarebbe interessante ora poter seguire anche gli eventuali sviluppi della vicenda, verificando, in particolare, quale sarebbe la tenuta
    dell’assetto contrattuale e della clausola di manleva in particolare, in un ipotetico giudizio risarcitorio.

    Il provvedimento del Garante, allo stato, getta un’ombra sconcertante sulla validità ed efficacia dei contratti di fornitura di banche dati (la cui struttura, nella prassi, non si discosta molto da quello in commento), che avrebbero incerta sorte ove, come rilevato
    dall’Autorità,  “l’oggetto stesso del contratto risulterebbe illecito poiché si realizzerebbe in tal modo un indiretto risultato elusivo
    delle norme imperative del Codice che disciplinano, appunto, obblighi, oneri e responsabilità del titolare del trattamento di quelle
    informazioni”.

    Secondo il Garante, e per i fini che l’Autorità si propone, tale forma di invalidità resta in secondo piano, in quanto dal fatto che la
    disciplina pattizia non corrisponda al reale atteggiarsi dei rapporti, ivi compresi quelli rilevanti in materia di protezione dei dati
    personali, egli estrapola la titolarità del trattamento e ne attribuisce gli oneri connessi.

    Tuttavia, difficilmente una simile soluzione potrebbe trovare spazio su di un piano eminentemente civilistico. Che ne sarebbe del contratto se un Giudice Civile, chiamato a pronunciarsi, percorrendo il sentiero già tracciato dal Garante ritenesse la pattuizione invalida, in quanto volta ad aggirare le responsabilità in tema di privacy?  Potrebbe Egli invece, fornendo una diversa interpretazione anche dell’intento dei contraenti, sulla scorta dell’assenza di una chiara normativa sul punto (il provvedimento del Garante si fonda, infatti, sulla applicazione analogica di provvedimenti emanati dall’Autorità stessa, operando una ricostruzione ermeneutica che appare corretta, ma opinabile) ritenere l’accordo valido ed efficace (compresa la clausola di manleva che condurrebbe al ristoro dei danni scaturiti dall’applicazione delle sanzioni irrogate dal Garante)?

    Il profilo di nullità delineato dall’Autorità Garante potrebbe presto trovare ampia eco nelle aule di Tribunale.

    Nel frattempo sarebbe comunque opportuno verificare gli assetti contrattuali in essere valutandone la portata sotto il profilo privacy, secondo gli indici evidenziati dal Garante.

    Post Tagged with

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Articoli recenti

Archivi

Consulenza

Attività di consulenza e pareristica in ordine a questioni attinenti la materia della privacy in ambito aziendale.
Contattaci

Codice Privacy

Consulta il Testo Aggiornato del D. lgs. 196 del 2003 (Codice Privacy)
Consulta

Legge Privacy - Policy Privacy - Note Legali - Copyright IQUII Srl