GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/731/01.jpg
giovedì 27 ottobre 2022
di GDPRlab.it
GDPR e marketing: esternalizzare il marketing a terzi non deresponsabilizza il committente, che resta titolare del trattamento dati.
Il 10 Agosto 2021 un cittadino ha presentato reclamo presso gli uffici del Garante privacy. Lamentava la ricezione di comunicazioni non desiderate relative ad uno spettacolo teatrale che si sarebbe tenuto poco tempo dopo nella città di Torino. Il messaggio, promozionale e finalizzato alla vendita dei biglietti per lo spettacolo, proveniva da indirizzo email non afferente alla società organizzatrice dello spettacolo. Il dominio infatti faceva riferimento ad una terza parte, incaricata dall'azienda organizzatrice dello spettacolo.
Nel reclamo, il cittadino specificava di non aver mai prestato il consenso a ricevere dette comunicazioni promozionali. Tra le altre cose, lamentava anche il mancato riscontro alle sue richieste di esercizio dei propri diritti di cui agli artt. 15, 17 e 21 del GDPR.
Il Garante avviava quindi l'istruttoria, avvisando l'azienda contestata e richiedendo informazioni. La società dichiarava fin da subito la propria estraneità alla condotta lamentata dal reclamante. A partire dal fatto che l'indirizzo email mittente non fosse riconducibile alla società stessa. Non solo: l'azienda specificava di non aver mai avuto nella propria disponibilità i dati personali del reclamante.
Di conseguenza chiedeva l'estromissione della propria posizione dal procedimento.
Nelle memorie l'azienda specificava di essersi avvalsa, per la pubblicizzazione dello spettacolo teatrale, di una azienda terza. L'incarico è stato conferito in forma orale, a fronte di un compenso prestabilito. Il committete si è limitato ad accettare le rassicurazioni dell'agenzia pubblicitaria rispetto alla propria confromità al GDPR. Di conseguenza non è stato ritenuto necessario, spiegano, l'avvalersi dei poteri di controllo e di indirizzo in merito al trattamento dei dati personali dei destinatari della campagna. L'azienda terza ha quindi
“agito in totale autonomia sia per quanto riguarda la modalità di promozione sia per quanto riguarda i soggetti destinatari delle stesse attività di promozione”
attingendo a proprie liste contatti.
In ultimo: in corso di audizione, l'azienda ha presentato ulteriore documentazione. Con questa dimostrava che l'agenzia di promozione si era a sua volta avvalsa di un ulteriore soggetto terzo. Il quale avrebbe affermato di aver cancellato i dati del reclamante.
Per approfondire > GDPR e Marketing: il committente delle campagne risponde anche per le società terze
Il primo rilievo del Garante è stata l'assenza di documentazione contrattuale. Non essendo esplicitamente indicati titolare e responsabile del trattamento, questi sono stati desunti dalla lettura dell'art. 4 GDPR che definisce il titolare.
Nel caso in specie, la campagna promozionale,anche se condotta a mezzo di un indirizzo di posta non riferibile all'azienda committente, in realtà riportava contatti, logo, sito web, riferimenti della stessa. Insomma, per il Garante la configurazione del messaggio è tale da convincere i destinatari di essere stati contattati direttamente dall'azienda committente. Non a caso, rileva il Garante, il reclamante si è rivolto direttamente all'azienda committente e non alla commissionaria. Insomma, i contatti a finalità di marketing sono stati effettuati per conto e nell'interesse della società committente. Società committente che ha anche determinato le finalità del trattamento posto in essere dalla società terza. Ciò prefigura l'azienda committente come titolare del trattamento dei dati.
Emerge anche come l'azienda committente non abbia effettuato un adeguato controllo sulla società terza. Non solo non ha redatto alcun atto giuridicamente vincolante (contratto), ma non ha neppure richiesto la documentazione comprovante la conformità alla normativa delle modalità di trattamento dati. Si è accontentata di accordi e rassicurazioni verbali. Una violazione di uno dei pilastri del GDPR, quello dell'accountabilty (responsabilizzazione) che
"impone a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi".
Pesa sul punto anche il fatto che l'azienda committente è venuta a conoscenza del coinvolgimento di un ulteriore terza parte nella campagna solo ad istruttoria avviata, a riconferma della scarsa attenzione alle fasi operative del trattamento. Infine gioca a sfavore anche il mancato riscontro alle istanze del reclamante, se non solo dopo l'avvio dell'istruttoria da parte del Garante.
Il Garante ha optato quindi per sanzionare l'azienda committente. Tenuto conto di
l'ammontare della sanzione è stata stabilita in 1000 euro. Come sanzioni aggiuntive il garante ha previsto
Il provvedimento completo è disponibile qui
mercoledì 20 settembre 2023
martedì 5 settembre 2023
CONDIVIDI QUESTA PAGINA!