GDPR e marketing: esternalizzare il marketing a terzi non deresponsabilizza il committente, che resta titolare del trattamento dati.

Il precedente: il reclamo di un utente

Il 10 Agosto 2021 un cittadino ha presentato reclamo presso gli uffici del Garante privacy. Lamentava la ricezione di comunicazioni non desiderate relative ad uno spettacolo teatrale che si sarebbe tenuto poco tempo dopo nella città di Torino. Il messaggio, promozionale e finalizzato alla vendita dei biglietti per lo spettacolo, proveniva da indirizzo email non afferente alla società organizzatrice dello spettacolo. Il dominio infatti faceva riferimento ad una terza parte, incaricata dall'azienda organizzatrice dello spettacolo.

Nel reclamo, il cittadino specificava di non aver mai prestato il consenso a ricevere dette comunicazioni promozionali. Tra le altre cose, lamentava anche il mancato riscontro alle sue richieste di esercizio dei propri diritti di cui agli artt. 15, 17 e 21 del GDPR.

Il Garante avvia l'istruttoria e l'azienda invia memorie difensive

Il Garante avviava quindi l'istruttoria, avvisando l'azienda contestata e richiedendo informazioni. La società dichiarava fin da subito la propria estraneità alla condotta lamentata dal reclamante. A partire dal fatto che l'indirizzo email mittente non fosse riconducibile alla società stessa. Non solo: l'azienda specificava di non aver mai avuto nella propria disponibilità i dati personali del reclamante.

Di conseguenza chiedeva l'estromissione della propria posizione dal procedimento.

Nelle memorie l'azienda specificava di essersi avvalsa, per la pubblicizzazione dello spettacolo teatrale, di una azienda terza. L'incarico è stato conferito in forma orale, a fronte di un compenso prestabilito. Il committete si è limitato ad accettare le rassicurazioni dell'agenzia pubblicitaria rispetto alla propria confromità al GDPR. Di conseguenza non è stato ritenuto necessario, spiegano, l'avvalersi dei poteri di controllo e di indirizzo in merito al trattamento dei dati personali dei destinatari della campagna. L'azienda terza ha quindi

 “agito in totale autonomia sia per quanto riguarda la modalità di promozione sia per quanto riguarda i soggetti destinatari delle stesse attività di promozione”

attingendo a proprie liste contatti.

In ultimo: in corso di audizione, l'azienda ha presentato ulteriore documentazione. Con questa dimostrava che l'agenzia di promozione si era a sua volta avvalsa di un ulteriore soggetto terzo. Il quale avrebbe affermato di aver cancellato i dati del reclamante.

Per approfondire > GDPR e Marketing: il committente delle campagne risponde anche per le società terze

GDPR e marketing: gli esiti dell'istruttoria del Garante privacy

Il primo rilievo del Garante è stata l'assenza di documentazione contrattuale. Non essendo esplicitamente indicati titolare e responsabile del trattamento, questi sono stati desunti dalla lettura dell'art. 4 GDPR che definisce il titolare.

Nel caso in specie, la campagna promozionale,anche se condotta a mezzo di un indirizzo di posta non riferibile all'azienda committente, in realtà riportava contatti, logo, sito web, riferimenti della stessa. Insomma, per il Garante la configurazione del messaggio è tale da convincere i destinatari di essere stati contattati direttamente dall'azienda committente. Non a caso, rileva il Garante, il reclamante si è rivolto direttamente all'azienda committente e non alla commissionaria. Insomma, i contatti a finalità di marketing sono stati effettuati per conto e nell'interesse della società committente. Società committente che ha anche determinato le finalità del trattamento posto in essere dalla società terza. Ciò prefigura l'azienda committente come titolare del trattamento dei dati.

Emerge anche come l'azienda committente non abbia effettuato un adeguato controllo sulla società terza. Non solo non ha redatto alcun atto giuridicamente vincolante (contratto), ma non ha neppure richiesto la documentazione comprovante la conformità alla normativa delle modalità di trattamento dati. Si è accontentata di accordi e rassicurazioni verbali. Una violazione di uno dei pilastri del GDPR, quello dell'accountabilty (responsabilizzazione) che

 "impone a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi".

Pesa sul punto anche il fatto che l'azienda committente è venuta a conoscenza del coinvolgimento di un ulteriore terza parte nella campagna solo ad istruttoria avviata, a riconferma della scarsa attenzione alle fasi operative del trattamento. Infine gioca a sfavore anche il mancato riscontro alle istanze del reclamante, se non solo dopo l'avvio dell'istruttoria da parte del Garante.

L'ammontare della Sanzione del Garante Privacy

Il Garante ha optato quindi per sanzionare l'azienda committente. Tenuto conto di 

• della condotta sporadica: agli atti c'è un solo reclamo;
• dell'immediata interruzione della condotta recriminata;
• l'eccezionalità della campagna promozionale rispetto alle modalità ordinarie di promozione della società;
• dello scarso riscontro sia all'interessato che all'Autorità garante;
• l'assenza di precedenti;
• i bilancio della società

l'ammontare della sanzione è stata stabilita in 1000 euro. Come sanzioni aggiuntive il garante ha previsto 

• l'ulteriore trattamento per finalità promozionali di dati raccolti senza consenso;
• la pubblicazione della ragione sociale aziendale nel provvedimento;
• l'obbligo di prevedere e implementare misure per dare pieno riscontro alle richieste di esercizio dei diritti da parte degli interessati.

 Il provvedimento completo è disponibile qui