Il Garante della Privacy, con un recente provvedimento (n. 427 del 25 settembre 2014 ) ha ribadito il divieto di utilizzo dei dati personali a fini commerciali, in mancanza di espresso consenso.
La società destinataria dell’inibitoria, infatti, raccoglieva il consenso scritto all’invio di una newsletter mediante un semplice form del tutto generico. All’utente veniva, infatti, richiesto di barrare un generico consenso al “trattamento dei dati personali” per poter accedere al servizio di ricezione di una newsletter periodica via posta elettronica.
Alle suddette newsletter, però, si accompagnava spesso anche l’invio di e-mail con finalità commerciali non espressamente richieste dall’utente al momento dell’iscrizione.
Il Codice della Privacy, sul punto, richiede che il consenso venga preventivamente espresso dagli utenti in modo specifico in relazione alla tipologia di attività per la quale i dati stessi sono finalizzati. Afferma il Garante nel provvedimento che “…i trattamenti di dati per fini commerciali esulano da quelli necessari per adempiere al contratto di fornitura di un servizio” (in questo caso la newsletter periodica) e, pertanto, devono ricevere opportuna autorizzazione.
Nel caso di specie, in conclusione, la società era tenuta a predisporre una casella ad hoc mediante la quale l’utente avrebbe potuto esprimere il consenso anche alla ricezione di e-mail promozionali.
Oltre all’essere destinataria del provvedimento inibitorio, la società potrebbe ulteriormente ricevere una sanzione amministrativa per l’illecito commesso, i cui profili sono però ancora in via di valutazione da parte del Garante.