Altroconsumo nel mirino del Garante

Le aziende condividono spesso database di contatti con collaboratori esterni, partner e terzi, per molteplici finalità, la più utilizzata di natura promozionale. Per tale motivo, spesso e volentieri, nell’informativa si legge: “i suoi dati personali potranno essere trasmessi a terzi”. Tuttavia, fornire questa informazione agli interessati risulta insufficiente, e questa mancanza ha portato Altroconsumo ad essere sanzionato dal Garante.

L’associazione, pur dichiarando di aver fornito un’informativa orale alla reclamante, non è riuscita ad evitare la sanzione dell’Autorità in quanto il terzo venditore della lista di contatti non ha prestato sufficiente attenzione al presunto rilascio di idoneo consenso per finalità di marketing e per la cessione dei dati a terzi. Per tale motivo, è buona norma, ribadisce il Garante, aumentare il campionamento ossia la verifica delle utenze per attività di marketing.

La sanzione comminata col provvedimento del Garante Privacy del 15 dicembre di 2022 si basa non solo sulla violazione sistematica dell’obbligo di informazione e di consenso, ma anche per la mancanza di sufficienti misure per comprovare l’adempimento al GDPR da parte dei suoi fornitori.

Riportiamo i principali argomenti del Garante.

Per quanto riguarda l’obbligo di informazione:

Il Garante dichiara che, sebbene “l’informativa resa agli interessati […] chiarisce l’origine del dato e la possibilità di esercitare i diritti (accesso, rettificazione, cancellazione, opposizione, limitazione, portabilità)” il fornitore, diversamente, ha omesso di fornire  “un quadro completo dei trattamenti dei dati svolti dalla Società. In particolare, non vengono fornite informazione sulla tipologia dei dati trattati e sull’effettiva titolarità del trattamento dal momento che [il fornitore] viene indicato come soggetto a cui rivolgere le istanze di esercizio dei diritti, lasciando un vulnus nella conoscenza delle operazioni e delle modalità adottate dalla Società, con riferimento anche alla conservazione dei dati e alla registrazione di un eventuale diniego degli interessati”.

Ricorda inoltre l’importanza di comunicare le suddette informazioni entro il termine previsto dal GPDR. Nel caso in esame sono giunte dopo (addirittura) quattro anni di distanza.

A questo proposito, come promemoria, occorre sottolineare che il GDPR prevede che, qualora i dati personali non siano stati ottenuti presso l’interessato, il titolare del trattamento deve fornire le informazioni secondo le seguenti tempistiche:

1. entro, massimo, un mese dall’ottenimento dei dati personali;
2. al più tardi al momento della prima comunicazione all’interessato, nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato; oppure

• nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

Rispetto al consenso:

L’Autorità Privacy sottolinea ancora una volta che è un errore ritenere che l’indirizzo IP combinato con la data e l’ora di registrazione dell’utente sul sito web dimostri la manifestazione di volontà dell’interessato, precisando che ci sono alternative più idonee a garantire un maggior grado di certezza circa il consenso, come, ad esempio, inviare un messaggio di conferma al recapito indicato in fase di iscrizione.

In merito alle misure di controllo:

L’associazione controllava solo cinque numerazioni per Partner rispetto a tutte le utenze utilizzate per finalità di marketing (da gennaio a dicembre 2020 se ne contano 2,5 milioni). Il Garante dispone che questa misura sia insufficiente a garantire un livello di tutela “adeguato” nel rispetto del GDPR, e che, di conseguenza, deve intendersi come “un mero formalismo”.