Garante per la Protezione dei Dati Personali – Relazione 2018. L’Autorità Garante ci offre qualche indicazione su un problema di grande rilievo: L’utilizzo improprio della PEC degli Avvocati a fini di marketing
Lo scorso 7 maggio 2019 si è assistito ad un attacco informatico ai danni di 20.000 avvocati romani, le cui password degli indirizzi PEC sono stati resi pubblici. Proprio in quei giorni l’Autorità Garante presentava la relazione relativa all’attività del 2018. Al paragrafo 10.3 della Relazione viene commentato il provvedimento n. 52 (doc. web n. 7810723) con cui il Garante vieta a una società, e all’associazione a essa collegata, l’invio di e-mail promozionali indesiderate a liberi professionisti, utilizzandone gli indirizzi di posta elettronica certificata. Tali comportamenti sono valutati alla stregua di un illecito trattamento dei dati dei professionisti, e, pertanto, ne viene prescritta la cancellazione, con riserva di valutare i correlati profili sanzionatori.
Il caso: Un’associazione e una società terza avevano reperito online, massivamente, gli indirizzi PEC di avvocati e, in minor parte, di altri liberi professionisti (commercialisti, revisori contabili, consulenti del lavoro, notai), con varie modalità, manuali e automatizzate. La società aveva poi spedito comunicazioni a contenuto promozionale, utilizzando tali recapiti, in numero complessivo superiore alle 800.000 e-mail.
Il Garante ha anzitutto verificato che gli indirizzi PEC sono risultati rastrellati massivamente (c.d. web scraping) mediante software sul registro Ini-PEC (ridenominato “Indice nazionale dei domicili digitali” (istituito dal d.lgs. n. 217/2017), sul sito www.registroimprese.it, nonché sugli elenchi pubblicati da alcuni ordini professionali provinciali.
I profili di illiceità rilevati riguardano in particolare la mancanza del consenso informato ai sensi degli artt. 13, commi 1 e 4, 130, commi 1 e 2, e 23, d.lgs. n. 196/2003 (cfr. anche Linee guida in materia di spam – Provv. del 04/07/2013, doc. web n. 2542348); a cui si aggiunge la violazione del Codice dell’Amministrazione Digitale (d.lgs. n. 82/2005).