Marketing: le aziende che acquistano banche dati per campagne di marketing devono poter dimostrare la conformità al GDPR

Il Garante francese avvia l'istruttoria su EDF

Tra il 2020 e il 2021 EDF, il primo produttore francese di energia elettrica, conduce una campagna di marketing via email. Campagna che provoca la reazione di moltissimi utenti che, infastiditi dalla ricezione delle comunicazioni di marketing, presentano reclami al Garante francese. Gli utenti dichiarano di non aver mai prestato il consenso a ricevere tali comunicazioni e molti di loro lamentano anche grosse difficoltà nell'esercizio dei diritti. In alcuni casi, ad esempio, l'azienda non avrebbe neppure dato risposta alle richieste. In altri invece , la società avrebbe risposto inviando informazioni inesatte sull'origine della raccolta dei dati.

Il Garante francese decide quindi di attivarsi, avviando apposita istruttoria e ricostruisce come l'azienda non possa dimostrare la conformità delle banche dati usate per la campagna.

EDF non può dimostrare la conformità al GDPR delle banche dati

Nel corso dell'istruttoria è emerso come EDF non fosse in grado di dimostrare la conformità al GDPR delle banche dati utilizzate per la campagna di marketing. A richiesta del Garante di fornire adeguata documentazione, EDF ha presentato soltanto un modulo standard con il quale il broker dei dati avrebbe raccolto i consensi. Il modulo richiedeva il consenso non solo al trattamento dei dati, ma anche alla condivisione degli stessi con altri partner commerciali. Ma il broker non forniva agli interessati nessuna lista di "altri partner commerciali". Insomma per il Garante francese quel modulo non consente l'espressione di un consenso sufficientemente informato.

La società ha quindi ammesso di non aver verificato i moduli di consenso forniti dal broker e di non aver effettuato alcuna verifica sulla regolarità delle banche dati.

Per saperne di più > GDPR e marketing: l’azienda che commissiona a terzi resta titolare del trattamento

Il Garante francese opta per la sanzione

La CNIL ha rilevato quindi la violazione:

• dell'art 7 del GDPR per il quale "“qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali”,
• degli artt. 13 e 14 del GDPR, avendo violato sia l'obbligo di informazione;
• degli arttt. 15 e 21 GDPR, avendo mancato di rispettare i diritti di accesso e opposizione degli interessati;
• dell'art. 32 perchè, tra le altre cose, EDF ha anche mostrato carenze dal punto di vista della protezione dei dati.

Ecco che il Garante francese, pur preso atto della collaboratività dell'azienda in corso di istruttoria, ha optato per la sanzione di 600.000 euro. D'altronde il principio ribadito è estremamente importante: chi acquista un database da terzi è comunque responsabile delle modalità di raccolta e uso dei dati. L'acquirente dovrà poter dimostrare la conformità al GDPR delle banche dati acquistate, altrimenti incorrerà in sanzione.

Qui disponibili il comunicato stampa e il provvedimento completo