In data 16 settembre 2021, il Garante per la protezione dei dati personali ('Garante' o 'Autorità') ha emesso un’ordinanza ingiunzione nei confronti di una società di servizi immobiliari (la “Società”), a fronte di apposito reclamo presentato all’Autorità, sanzionando altresì tale Società per non aver fornito riscontro alle richieste di informazioni del Garante. Descrizione del fatto Nell’ambito del procedimento, il Garante rilevava che la Società aveva contattato la reclamante al fine di proporle servizi immobiliari in riferimento ad uno specifico immobile di proprietà della reclamante stessa, avendo la certezza, desunta dai pubblici registri catastali, che si trattava della proprietaria dell'immobile in questione. Il contatto era avvenuto attraverso l’invio di un messaggio riservato utilizzando il profilo LinkedIn della Società e indirizzato direttamente al profilo LinkedIn della reclamante. Tale attività era stata altresì giustificata dalla Società, la quale, con apposita memoria difensiva presentata al Garante nell’ambito del procedimento, precisava che il profilo LinkedIn della reclamante era “impostato in maniera tale da essere contattabile da qualsiasi altro utente del social network, senza alcuna limitazione; pertanto [era] da ritenersi ammissibile il contatto da parte di un agente immobiliare in quanto “libera espressione di una mia opportunità lavorativa” tanto più che la conversazione era visibile solo al mittente e alla reclamante”. Valutazioni di ordine giuridico Il Garante ha fin da subito precisato che “le comunicazioni effettuate e ricevute all’interno di un social network sono finalizzate unicamente a quanto stabilito nelle condizioni di utilizzo del servizio” e “sulla base di tali condizioni contrattuali si basano le aspettative degli interessati relativamente all’utilizzo che di tale strumento verrà fatto da parte anche degli altri utenti”. La finalità propria del social network è quella di consentire lo scambio di contatti al fine di fornire opportunità di lavoro e non prevede che gli utenti del social network possano utilizzare la piattaforma per inviare messaggi ad altri utenti con lo scopo di vendere prodotti o servizi, anche se in ciò consiste la propria attività lavorativa. Posto quanto sopra, il Garante ha affermato che “in tale contesto non ha alcuna rilevanza il fatto che il profilo di un utente sia aperto o meno a ricevere contatti da parte di altri utenti del social. Ciò che conta è la finalità - in questo caso promozionale - per cui il messaggio è stato inviato, finalità che è in contrasto con quella prospettata nelle condizioni contrattuali di adesione al social network.” In aggiunta, a parere dell’Autorità, non ha rilevato il fatto che il messaggio fosse rimasto visibile solo al mittente e alla destinataria, non essendo condizione sufficiente a rimuovere l’illiceità della condotta, quanto più elemento finalizzato unicamente a contenere il pregiudizio subito dalla reclamante. Il Garante ha, pertanto, ritenuto integrata la violazione dell’articolo 5 del Regolamento (UE) 2016/679 (“GDPR”). In particolare, l’Autorità ha precisato che quanto posto in essere dalla Società aveva comportato che il trattamento dei dati – concretizzato nella raccolta dei dati stessi e nell’invio di un messaggio per finalità promozionali - fosse avvenuto in assenza di una idonea base giuridica, non essendo lo stesso riconducibile ad alcuna delle condizioni di liceità di cui all’articolo 6, par. 1 del GDPR, dal momento che: In aggiunta, come precisato dall’Autorità, la Società aveva considerato lecita la condotta posta in essere. Da tale elemento il Garante ha desunto che tali pratiche rientrassero tra le consuete modalità operative della Società stessa o, per lo meno, non fossero considerate in contrasto con esse. Da ciò il Garante ha ritenuto che le misure tecniche e organizzative della Società non fossero adeguate a garantire che il trattamento dei dati avvenisse in conformità al GDPR, rilevando, pertanto, una violazione degli articoli 24 e 25 del GDPR. Alla luce di quanto sopra, l’Autorità ha rivolto un ammonimento alla Società, invitandola ad adottare idonee misure organizzative. L’Autorità ha ritenuto la misura sufficiente e proporzionata, tenuto in considerazione che (i) si trattava di una piccola impresa, esposta alla crisi economica causata dalla pandemia; (ii) non risultavano ulteriori procedimenti a carico della stessa; e (iii) si era trattato di un solo contatto diretto alla reclamante. Il Garante ha, tuttavia, sanzionato la Società per un importo pari ad Euro 5.000 per non aver fornito riscontro alle reiterate richieste di informazioni avanzate dalla stessa, rendendo necessaria la notifica tramite il Nucleo speciale privacy della Guardia di Finanza.
