di Gabriella Lax � Nella relazione del 2018 del Garante per la protezione dei dati personali c'� spazio anche per la discussione circa "Invio di comunicazioni a contenuto promozionale agli indirizzi Pec dei liberi professionisti".
Il caso
L'Autorit� ha vietato a una societ� e a un'associazione ad essa collegata l'invio di e-mail promozionali indesiderate a liberi professionisti, soprattutto avvocati, utilizzandone gli indirizzi di posta elettronica certificata (provv. 1� febbraio 2018, n. 52, doc. web n. 7810723). Dopo le segnalazioni alle fiamme gialle, � emerso che alcuni collaboratori volontari dell'associazione e una societ� terza avevano scovato online, gli indirizzi Pec di avvocati e altri liberi professionisti.
La societ� aveva poi spedito comunicazioni a contenuto promozionale utilizzando tali recapiti, inviando 800.000 e-mail. Nel caso di specia, la relazione chiarisce che gli indirizzi: �Oltre ad essere stati trattati senza il necessario consenso, gli indirizzi pec sono risultati rastrellati massivamente (cd. web scraping) mediante appositi software da varie fonti presenti sul web: il registro Ini-Pec (ridenominato "Indice nazionale dei domicili digitali" a seguito del decreto legislativo n. 217/2017); il sito www.registroimprese.it; gli elenchi pubblicati da alcuni ordini professionali provinciali�.
Garante: le Pec non si usano per il marketing
Questa condotta � stata ritenuta in contrasto con la normativa di settore, e in particolare con: l'art. 6-bis, comma 1, d.lgs. n. 82/2005 (Codice dell'amministrazione digitale - Cad, introdotto dall'art. 5, comma 3, d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 22), secondo il quale �la finalit� di tali indirizzi consiste nel "favorire la presentazione di istanze, dichiarazioni e dati, nonch� lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalit� telematica"; l'art. 16, comma 10, d.l. n. 185/2008 (convertito, con modificazioni, in legge 28 gennaio 2009, n. 2), in base al quale l'estrazione di elenchi di indirizzi di posta elettronica certificata contenuti nel registro delle imprese o negli albi o elenchi "� consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza"�.
Non solo. Il Garante per la protezione dei dati personali specifica che, rispetto all'invio delle comunicazioni elettroniche di cui sopra, �considerato il loro contenuto promozionale, l'associazione e la societ�, in qualit� di cotitolari del trattamento, avrebbero dovuto acquisire il consenso informato degli interessati ai sensi degli artt. 13, commi 1 e 4, 130, commi 1 e 2, e 23, d.lgs. n. 196/2003. L'Autorit� ha inoltre ha ribadito che la necessit� del previo consenso informato dell'interessato sussiste anche quando i dati personali (come, nella fattispecie, una parte degli indirizzi di posta elettronica destinatari delle comunicazioni in parola) siano rinvenibili in altri registri o elenchi pubblici (quali quelli disponibili sul sito www.registroimprese.it o sui siti web istituzionali degli ordini provinciali delle categorie professionali), in quanto l'agevole reperibilit� degli stessi non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalit� sottese alla loro pubblicazione. In ogni caso, non viene meno �l'illiceit� del trattamento in ragione dell'inserimento nelle e-mail indesiderate di un link per la cancellazione dalla mailing list, poich� il consenso richiesto (salvo per le ipotesi di cui all'art. 130, comma 4, d.lgs. n. 196/2003, cd. soft spam) deve essere legittimamente acquisito anteriormente all'invio delle comunicazioni promozionali.
Nel caso non sono state ritenute valide le argomentazioni addotte a sostegno della correttezza del proprio operato dalla societ� e dall'associazione, che hanno dichiarato di sentirsi �esentate dalla richiesta del consenso preventivo sulla base della presunta natura "istituzionale" delle comunicazioni (e in particolare, su riconoscimenti e patrocini ricevuti da parte degli Ordini professionali di appartenenza degli interessati), non potendo ritenersi tali circostanze idonee a surrogare il necessario consenso informato da parte dei singoli interessati, cui fa capo il diritto alla protezione dei dati personali riconosciuto dal legislatore�. Come ha precisato il Garante, le email avevano in realt� carattere promozionale, poich� l'obiettivo era favorire le attivit� dell'associazione connesse alla figura di "consulente reputazionale", e quindi dovevano essere inviate nel rispetto delle regole previste dal decreto legislativo n. 196/2003 e dalle citate Linee guida in materia di attivit� promozionale. L'Autorit� ha vietato alla societ� e all'associazione l'ulteriore illecito trattamento dei dati dei professionisti e ne ha prescritto, in ragione dell'origine illecita, la cancellazione, riservandosi di valutare i correlati profili sanzionatori.