GDPR e marketing: il Garante ha sanzionato un'azienda per aver commissionato una campagna promozionale via SMS ad una società terza che ha utilizzato liste non verificate di altre società .

Antefatto: i reclami di due destinatari della campagna fanno attivare il Garante

Il Garante si è attivato dopo aver ricevuto due reclami da soggetti destinatari della campagna. I due reclamanti si rivolgevano all'Autorità a causa della continua ricezione di messaggi indesiderati. Entrambi avevano prima contattato la società mittente e quella che invece offriva le promozioni per richiedere lo stop all'invio degli SMS indesiderati. I reclami non ottenevano risconti. Nessuna delle due aziende, inoltre, ha fornito informazioni su dove fossero stati acquisiti i dati delle liste utilizzate per la campagna SMS. Gli invii non si sono interrotti, quindi i due si rivolgevano al Garante.

Il Garante avvia l'istruttoria

Il Garante, a seguito dei reclami, avviava l'istruttoria. Nel corso di questa ricostruiva come l'azienda committente della campagna pubblicitaria avesse incaricato una società terza, un'azienda operante nel settore del marketing, per l'invio di SMS a potenziali nuovi clienti. La società pubblicitaria si rivolgeva, a sua volta, a terzi che, a loro volta, avevano acquisito le liste da società terze. Insomma, un classico meccanismo a scatole cinesi.

Le liste dei destinatari non erano verificate

Nel corso dell'istruttoria il Garante riscontrava anche che le liste dei destinatari degli SMS pubblicitari non erano verificate. Erano costruite da società estere che le avevano composte accumulando dati dalle registrazioni su alcuni portali informativi e da concorsi online. Due di queste società avevano sede in Florida e Svizzera e non presentavano alcun rappresentate in Italia. Palesi insomma le violazioni alle normative, con una palese mancanza di conformità al GDPR. Il Garante ha optato quindi per comminare sanzioni alle varie società coinvolte.

Sanzionata anche la società committente della campagna marketing

Il Garante ha sanzionato la società che ha fornito il servizio di marketing in violazione al GDPR. A livello pecuniario la sanzione ammonta 200.000 euro, ma il Garante ha anche vietato alla società l'uso di dati che non rispettino i requisiti di legittimità e liste non conformi al GDPR.

La terza società è stata sanzionata per 90.000 euro per "condotta omissiva". La società infatti non ha mai dato seguito alle richieste poste dal Garante in corso di istruttoria. L'ammontare della sanzione è dovuto al fatto che questa società aveva già ricevuto una precedente sanzione per lo stesso atteggiamento omissivo.

Interessante però è il fatto che la sanzione ha riguardato anche la società committente della campagna marketing SMS. Il Garante l'ha ritenuta responsabile delle violazioni commesse in quanto titolare del trattamento dei dati. Il titolare ha il dovere di verificare che i terzi di cui si avvale rispettino sia le previsioni contrattali intercorse tra le parti sia le previsioni del GDPR.

A titolo esemplificativo: come sono calcolate le sanzioni?

Prendendo ad esempio la sanzione comminata a Runwhip srl, il Garante specifica i tre criteri sui quali ha basato l'ammontare e le previsioni sanzionatorie: fatturato aziendale, gravità delle violazioni, collaborazione nel corso dell'istruttoria.

Nel provvedimento, che riportiamo in forma abbreviata, si legge:

"CONSIDERATO che, nel caso in esame, assumono rilevanza:

a. la gravità della violazione, in ragione del reiterato, mancato riscontro alle richieste del Garante;
b. il carattere gravemente negligente, e apparentemente anche doloso, della condotta poiché la Società non ha tenuto in alcun conto delle conseguenze che potevano derivare dal mancato riscontro alle richieste del Garante;
c. la mancata adozione di misure atte a mitigare o a eliminare le conseguenze della violazione, poiché anche a seguito dell’avvio del procedimento sanzionatorio Runwhip non ha intrapreso alcuna iniziativa;
d. l’esistenza di una precedente violazione pertinente (già sanzionata con apposito provvedimento N.d.r);
e. il mancato rispetto di tale provvedimento, dal momento che, ad oggi, non risulta che la Società abbia fornito riscontro in merito all’adempimento degli ordini impartiti dall’Autorità
d.la mancata cooperazione con l’Autorità
e. le condizioni economiche del contravventore.."

L'ammonimento del Garante: violare il GDPR danneggia le aziende di marketing

Il comunicato ufficiale del Garante riguardo queste tre sanzioni contiene un ammonimento agli operatori del settore del marketing. Un settore su cui l'Autorità ha puntato i riflettori, come dimostrano le molteplici sanzioni contro il marketing selvaggio. Il messaggio è chiaro, lo riportiamo per intero, senza bisogno di ulteriori commenti:

"Al riguardo l’Autorità ha ricordato che l’ordinato svolgimento delle attività di marketing, con l’utilizzo di dati raccolti lecitamente e aggiornati, oltre ad evitare pericolose derive (quali phishing e truffe), giova al mercato stesso tutelando gli operatori virtuosi e rafforzando la fiducia degli interessati. È pertanto necessario adottare la massima diligenza nella selezione delle banche dati".

Provvedimenti integrali: 

• alla società committente;
• verso la seconda società;
• verso la terza società