La CNIL ha sanzionato HUBSIDE.STORE per 525.000€

La Commission Nationale de l’Informatique et des Libertés (CNIL) ha accertato la violazione della normativa in materia di comunicazioni commerciali, per le attività di marketing svolte nei confronti di potenziali clienti da parte di HUBSIDE.STORE, società specializzata nella vendita di smartphone, notebook e dispositivi informatici.

Le campagne di comunicazione commerciale di HUBSIDE.STORE

La predetta società effettuava campagne di comunicazione commerciale per la promozione dei prodotti offerti, mediante chiamate telefoniche ed invio massivo di SMS a potenziali clienti.

I numeri di telefono dei destinatari venivano forniti da “broker” di dati e da siti web terzi, che acquisivano gli stessi a seguito di sottoscrizione di moduli/form per la partecipazione a concorsi online e li vendevano alla società francese.

All’utente, tuttavia, non veniva fornita una chiara possibilità di scelta in relazione all’utilizzo dei propri dati, raccolti mediante la predisposizione di un form che non prevedeva una modalità idonea all’espressione di un consenso informato, mediante un atto positivo chiaro e inequivocabile.

Nello specifico, in fondo al form veniva posto in risalto un pulsante di accettazione-approvazione dei termini di partecipazione e delle condizioni di trattamento dei dati, relegando ad una scritta nel corpo del testo, in caratteri di dimensioni considerevolmente minori, il link ipertestuale per la possibilità di partecipare al concorso senza ricevere offerte commerciali da parte di Partner della società; opzione, quest’ultima, poi rivelatasi comunque non veritiera.

Una struttura di tal genere concentra l’attenzione dell’utente sulla partecipazione al concorso, evidenziando visivamente il pulsante di partecipazione, con la conseguente “scelta” di “acconsentire” a ricevere comunicazioni commerciali da parte di altre società partner.

I dati di contatto degli utenti, venivano successivamente trasmessi a HUBSIDE.STORE sotto forma di fascicoli/file di “lead”, con l’indicazione di un collegamento URL alla fonte dei dati.

La società si serviva di questi dati di contatto per l’invio di comunicazioni commerciali mediante SMS e chiamate con operatore senza, colpevolmente, effettuare controlli sui fascicoli ricevuti e sull’adeguatezza delle modalità di acquisizione di quei consensi.

Inoltre, la società non provvedeva a fornire adeguata informativa, ai sensi dell’Art. 14 del GDPR, ai destinatari degli SMS e delle chiamate promozionali, i cui dati venivano raccolti presso fornitori terzi.

Conclusioni

La vicenda testimonia, ancora una volta, come l’impegno contrattuale del fornitore a rispettare genericamente le prescrizioni in materia di trattamento di dati personali, non risulta sufficiente ad escludere la responsabilità del Titolare del trattamento che utilizza quei dati, in un sistema che prevede la concreta responsabilizzazione sostanziale di tutti i soggetti coinvolti, com’è quello predisposto dal GDPR.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!