Utilizzo di LinkedIn per l’invio di messaggi promozionali: è lecito il trattamento dei dati personali dell’utente?
Il 16 settembre 2021 l’Autorità Garante per la protezione dei dati personali ha adottato un provvedimento che dichiara illecito l’utilizzo di LinkedIn per l’invio di messaggi promozionali. Come noto, LinkedIn è una piattaforma che ha la finalità di favorire lo scambio di conoscenze e le opportunità lavorative mettendo in contatto individui che condividono interessi professionali. Nel caso oggetto del provvedimento, un collaboratore di un’agenzia immobiliare, dopo aver verificato la titolarità di un immobile tramite il registro immobiliare pubblico, ha utilizzato LinkedIn per mettersi in contatto con la proprietaria dell’immobile e proporle un servizio di vendita mirato. Quest’ultima, con reclamo, ha posto all’attenzione del Garante la condotta del collaboratore dell’agenzia immobiliare.
Con provvedimento, il Garante ha innanzitutto considerato illecito l’utilizzo di LinkedIn per una finalità che non rientra tra le condizioni di utilizzo del servizio. L’Autorità ha inoltre ritenuto insufficienti a rimuovere l’illiceità della condotta sia il fatto che il profilo della reclamante fosse “aperto”, ovvero impostato in maniera tale da essere contattabile da qualsiasi altro utente, sia il fatto che il messaggio promozionale fosse visibile solo alla destinataria. Infatti, la finalità promozionale per cui il messaggio è stato inviato risulta in contrasto con i termini accettati dall’utente in fase di iscrizione alla piattaforma e pertanto non rientrante fra le legittime aspettative dell’interessata.
Secondo il parere dell’Autorità, la condotta descritta comporta la violazione degli articoli 5, 6, 24 e 25 del Regolamento Generale sulla protezione dei dati personali n. 2016/679 (GDPR).
L’articolo 5 GDPR dispone che i dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato”, raccolti “per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”; poiché il servizio proposto dal collaboratore non coincide ed è incompatibile con le finalità originarie della piattaforma, il trattamento dei dati dell’interessata è considerato in violazione dei principi di cui all’articolo 5.
L’articolo 6 GDPR stabilisce che il trattamento dei dati personali è lecito se è (i) autorizzato, per una o più finalità, dal consenso dell’interessato, oppure se è necessario (ii) all’esecuzione di un contratto di cui l’interessato è parte, (iii) per l’adempimento di obblighi derivanti da legge al quale è soggetto il titolare del trattamento, (iv) per la salvaguardia di interessi vitali dell’interessato o di un’altra persona fisica, (v) per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, (vi) per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. Il Garante ha escluso che il trattamento dei dati personali dell’utente, ovvero la raccolta dei dati e l’invio di un messaggio per finalità promozionali, sia riconducibile ad alcuna di queste condizioni; la finalità promozionale non rientra tra i termini di servizio, pertanto il trattamento non è inquadrabile nell’esecuzione del contratto e l’interessata non può aver espresso il proprio consenso in merito.
L’articolo 24 e 25 GDPR precisano che il titolare del trattamento deve mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento” e che per impostazione predefinita devono essere trattati “solo i dati personali necessari per ogni specifica finalità del trattamento”. Anche dopo l’avvio del procedimento, la società titolare del trattamento dei dati, ovvero l’agenzia immobiliare, ha ribadito la propria convinzione in merito alla liceità dell’utilizzo di LinkedIn per finalità promozionale e della condotta posta in essere dal collaboratore. L’Autorità ha quindi ritenuto che tali condotte rientrino tra le modalità operative della società, la quale non adotta misure tecniche e organizzative adeguate a garantire che il trattamento dei dati avvenga in conformità al GDPR.
Sulla base di queste motivazioni il Garante ha dichiarato illecito il trattamento dei dati personali dell’utente tramite LinkedIn per finalità promozionali, ha ingiunto alla società di conformare i propri trattamenti a quanto previsto dal GDPR e di adottare misure idonee a garantire che l’attività promozionale trovi fondamento in un’idonea base giuridica. Infine, ha ordinato alla società di pagare la somma di 5.000,00 euro a titolo di sanzione amministrativa, in applicazione dell’articolo 83 par. 5 del GDPR, per non aver fornito riscontro alle reiterate richieste di informazioni del Garante e per non aver mai giustificato il proprio silenzio nel corso delle interlocuzioni successive all’avvio del procedimento.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9705632
In collaborazione con la Dott.sa Federica Prudente
