Fare marketing prestando attenzione alla normativa privacy,
20.000€ di sanzione amministrativa per l’invio di un’e-mail promozionale senza il previo consenso dell’interessato.
Un’organizzazione, a prescindere dalla sua grandezza, deve prestare la massima attenzione allo svolgimento delle proprie attività promozionali.
Tra gli ultimi provvedimenti presi dal Garante, il n. 9827153 del 20 ottobre 2022 offre l’opportunità di ribadire l’importanza di verificare la conformità delle campagne di marketing alla normativa privacy. Il caso in questione ha avuto origine dall’invio di una mail, il cui contenuto sponsorizzava i prodotti di una società italiana produttrice di occhiali, senza il previo consenso dell’interessato.
Il destinatario della mail promozionale, prima di procedere con una segnalazione all’Autorità di vigilanza, ha inviato una richiesta di esercizio dei suoi diritti, previsti dal GDPR agli artt. 15 e ss., alla società titolare dei prodotti pubblicizzati, lamentando il fatto di essersi visto recapitare tale comunicazione senza aver prima rilasciato il suo consenso. Solo dopo non aver ricevuto alcun riscontro, ha chiesto l’intervento del Garante, il quale si è immediatamente attivato e ha chiesto chiarimenti alla società. Quest’ultima ha risposto dichiarandosi estranea all’accaduto, specificando che la comunicazione è stata inviata da un’altra società che ha utilizzato le informazioni dei destinatari per finalità di marketing.
Come chiarito dal Garante, il committente di una campagna promozionale, indipendentemente dalla materiale raccolta dei dati, deve ritenersi titolare del trattamento, avendo determinato le finalità ed i mezzi essenziali del trattamento. Pertanto, in qualità di titolare avrebbe dovuto chiedere al partner, incaricato di procedere con la campagna di marketing, la prova della sussistenza dei requisiti di liceità del trattamento: in questo caso specifico, la provenienza dei dati e il consenso dell’interessato. Le informazioni sembrerebbero state raccolte attraverso un sito internet gestito da una società con sede legale a Londra, dunque extra-UE, il che aggrava ulteriormente il quadro; inoltre, la prova del consenso non è mai stata allegata da parte di nessuno dei soggetti coinvolti e il sito, fonte dei dati e dell’asserito consenso, si è dimostrato inadeguato.
L’Autorità ha evidenziato rilevanti lacune relative all’obbligo di: comprovare il rispetto delle norme (principio di AccountabilityResponsabilità nell' adozione di approcci e politiche azien... Leggi), trasparenza e corretta privacy by designPrincipio che stabilisce che la protezione dei dati debba es... Leggi. In più, la segnalazione che ha dato origine al procedimento in esame non era altro che una di una lunga serie, tutte relative ai trattamenti effettuati dalla stessa società destinataria del provvedimento in commento.
In ragione di queste mancanze, definite come “gravemente colpose”, il Garante ha disposto:
- il pagamento di una sanzione amministrativa pecuniaria di 20.000€;
- il divieto di ogni ulteriore trattamento senza il necessario preventivo consenso informato, libero, specifico, inequivocabile e documentato in relazione all’attività di marketing;
- l’adozione di idonee procedure volte a verificare costantemente che i dati siano trattati lecitamente, ossia che sia stato acquisito il dovuto consenso di cui al punto precedente;
- l’adozione di idonee procedure volte a garantire un pieno ed effettivo riscontro all’esercizio dei diritti degli interessati;
- la pubblicazione nel sito del Garante del provvedimento e l’annotazione nel registro delle violazioni e delle misure adottate.
Tutte le organizzazioni, per lo svolgimento di attività di marketing, dovrebbero prestare massima attenzione alla normativa privacy, informandosi o, se necessario, richiedendo una consulenza prima di dare inizio ad attività promozionali. Solo così possono essere certe di agire in piena conformità alle norme, di garantire la tutela dei diritti degli interessati e, di conseguenza, di non incorrere in sanzioni da parte del Garante.
