Marketing e trattamento di dati personali: attenzione quando i dati provengono da soggetti terzi!

In un mondo sempre più tecnologico, il marketing riveste un ruolo fondamentale ed è sicuramente lo strumento più utilizzato dalle aziende che vogliono far crescere il loro business.  Oltre però ad offrire considerevoli vantaggi, nasconde anche numerose insidie che, se non vengono prese adeguatamente in considerazione, possono causare delle criticità e far rischiare all’azienda possibili sanzioni.

L’azienda che intende effettuare attività di marketing deve essere consapevole che è necessario rispettare una serie di adempimenti, in quanto il trattamento dei dati personali per tale finalità è soggetto a adempimenti precisi disciplinati dalla normativa applicabile, a regole ben precise stilate dal Garante Privacy all’interno dei suoi Provvedimenti, nonché alle linee guida in materia di attività promozionale e contrasto allo spam.

Bisogna, inoltre, considerare che le attività di marketing possono essere effettuate dall’azienda nei confronti di quei soggetti da cui sono stati raccolti direttamente i dati ed a cui è stata fornita un’informativa ex.art.13 del GDPR, oppure nei confronti di quei soggetti i cui dati sono stati raccolti da un soggetto terzo, che ha acquisito il consenso dagli interessati stessi; a questi soggetti dovrà essere fornita un’informativa ex. art.14 del GDPR.

Non rispettare quanto previsto dal quadro normativo e non aver accortezza quando si effettuano operazioni di questo tipo, che coinvolgono innumerevoli dati, potrebbe, come precedentemente detto, portare l’azienda ad avere delle sanzioni, talvolta anche considerevoli, come quella recentemente comminata ad un’azienda attiva nel panorama energetico.

Ordinanza di ingiunzione nei confronti di un’azienda attiva nel panorama energetico

Per spiegare meglio l’accaduto è necessario partire da una premessa.

All’attenzione del Garante Privacy sono pervenuti diversi reclami e diverse segnalazioni relativamente a dei trattamenti di dati personali per finalità di marketing con acquisizione da parte di soggetti terzi.

Sostanzialmente i dati personali oggetto di trattamento non erano stati forniti alla società direttamente dagli interessati, ma bensì erano stati acquisiti da altre fonti.

Gli interessati, in particolare, reclamavano il fatto che le attività di marketing effettuate nei loro confronti dalla suddetta società, fossero effettuate in assenza di uno specifico consenso e nonostante alcune delle utenze, oggetto di trattamento, fossero iscritte nel Registro pubblico delle opposizioni. Oltre a questo, gli interessati reclamavano il mancato riscontro alle richieste di esercizio dei diritti da parte degli stessi.

L’Ufficio del Garante Privacy ha così inviato una richiesta cumulativa di informazioni ed esibizione di documenti nei confronti della suddetta società; a tale richiesta la società ha fornito un riscontro. La società, infatti, reclamava che i dati personali fossero stati acquisiti sulla base del consenso al trattamento “per l’invio di informazioni ed offerte commerciali anche da parte di terzi” e che la società aveva in essere specifici accordi che prevedevano la fornitura e la cessione a suo favore “di liste di anagrafiche mobile relative ad interessati aventi valido consenso espresso ed informato per lo svolgimento – anche da parte di soggetti terzi – di attività di teleselling/telemarketing promozionali”.

Violazioni rilevate ed azioni intraprese dal Garante Privacy

Diverse sono state le violazioni rilevate: in particolare è stata rilevata la violazione degli artt.6 par.1, lett. a) e art.7, par.1 del GDPR con riferimento all’acquisizione del consenso da parte degli interessati, oltre che la violazione dei principi di liceità, correttezza e trasparenza del trattamento, nonché del principio di accountability.

Il Garante ha imposto alla società il divieto di ogni ulteriore trattamento per finalità promozionali effettuato mediante le liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati.

Ha, inoltre, ordinato di pagare la somma di quasi 3 milioni di euro, a titolo di sanzione amministrativa pecuniaria per le violazioni contestate.

Conclusioni

Quando si effettuano delle attività di marketing, sia che i dati siano stati acquisiti direttamente presso l’interessato, sia che siano stati acquisiti da soggetti terzi che hanno raccolto i dati dall’interessato, è necessario effettuare una serie di considerazioni, in relazione agli adempimenti privacy che è necessario rispettare.

Innanzitutto, è necessario che il consenso dell’interessato sia acquisito lecitamente, oltre che libero, manifesto e inequivocabile e che siano rispettati i principi previsti dal Regolamento UE 679/2016, tra cui il principio di liceità, correttezza e trasparenza del trattamento.

Da ultimo, ma non per importanza, il principio di accountability deve essere considerato come un caposaldo, in un’ottica di responsabilizzazione del Titolare stesso e di una corretta gestione del sistema privacy.