Marketing, GDPR e sanzioni del Garante: il caso delle scatole cinesi

22 marzo 2023Ultimo aggiornamento 22 maggio 2024
Tempo di lettura stimato: 5'
I provvedimenti del Garante privacy ci aiutano a capire come orientare la nostra attività di consulenti e di aziende, per rimanere nel perimetro di conformità definito dal GDPR. Rispetto alle attività di marketing, in particolare, l’autorità si è pronunciata più volte ed è per questo che, nell’approfondimento che segue – e nei prossimi articoli –, ci concentreremo proprio sui provvedimenti e le sanzioni comminate negli anni alle aziende, per violazioni relative ad attività promozionali e di vendita. 

Una delle attività più vulnerabili – e più facilmente passibili di sanzione – in ambito marketing, è l’acquisizione di banche dati. 

A proposito di questa, in un recente provvedimento, il Garante italiano per la protezione dei dati ha comminato una sanzione nei confronti di diverse società, colpevoli di aver commissionato una campagna promozionale sul modello delle scatole cinesi. Ovvero, un’azienda si era affidata a una seconda società, la quale si era affidata ulteriormente ad altre società per l'attività di newsletter allo scopo di attivare una campagna promozionale. 

Uso illecito di banche dati per finalità di marketing: il caso in breve

La società committente aveva incaricato un'azienda che operava nel marketing allo scopo di inviare SMS promozionali a potenziali clienti. Questa seconda società si era poi avvalsa di altri fornitori che, a loro volta, avevano acquisito le banche dati da terzi – terzi che, in questo caso, erano fuori dall’UE - in una successione di passaggi sul modello delle scatole cinesi.

L’autorità Garante era intervenuta su richiesta di due reclamanti, che si lamentavano per la continua ricezione di messaggi indesiderati. Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere un riscontro soddisfacente su dove queste avessero acquisito i loro dati personali. 

Dall’indagine è emerso che i dati delle persone contattate provenivano da liste non verificate - con evidenti profili di illiceità - costituite da soggetti esteri, con informazioni in parte derivanti da registrazione a portali informativi o da concorsi online.

La decisione del Garante e la sanzione

Vediamo ora la decisione del Garante italiano per la protezione dei dati: 
  • Innanzitutto, nel suo provvedimento, l’autorità ci dice che è assolutamente necessario verificare le liste dei contatti contenuti all’interno delle banche dati e che non devono essere utilizzati illecitamente i dati dei consumatori che non desiderano essere disturbati.
  • Il Garante privacy poi, nella sua decisione, prevede una sanzione, che è diversa per tutte le società coinvolte: 
1) 400.000 euro è l’ammontare della sanzione comminata alla società che ha commissionato la campagna promozionale - cioè il titolare del trattamento - per non aver verificato che l’azienda incaricata eseguisse correttamente le istruzioni previste nel contratto. 

2) 200.000 euro è la sanzione in capo alla seconda società, in quanto fornitore di servizio, per l’uso di dati provenienti da fonti che non rispettano i requisiti minimi di legittimità. 

3) 90.000 euro alle società list provider, cioè le aziende che detenevano le liste di contatti, raccolte senza il consenso da parte degli utenti. In questo caso la sanzione di 90.000 euro è stata comminata per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di una sanzione precedente. 

Cosa succede se la campagna di marketing è realizzata con dati raccolti illecitamente?

Se l’azienda attiva una campagna marketing utilizzando dati raccolti illecitamente, rischia una sanzione in conformità a quanto previsto dall’articolo 83 del GDPR, che può arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale. 

Come abbiamo visto, la sanzione non viene comminata solo verso il titolare del trattamento dei dati personali - cioè chi commissiona la campagna di marketing e che è tenuto a vigilare sull’operato della società a cui viene affidata -, ma tocca anche il fornitore del servizio, qualificato come responsabile del trattamento. Infatti, il fornitore è responsabile perché ha messo a disposizione la propria piattaforma per l'invio di messaggi di marketing. 

Dunque, ricordiamo, da un lato, ai titolari del trattamento che è sempre indispensabile verificare i fornitori e assicurarsi che operino in conformità col GDPR, e dall’altro, ricordiamo ai responsabili esterni che la sanzione non è solo in capo al titolare…

Vuoi utilizzare delle banche dati per le tue attività di marketing? Un consiglio da consulente

Prima di tutto occorre formalizzare. Capita spesso infatti che le aziende si affidino ad agenzie di comunicazione o web per l’attività di newsletter e nella maggior parte dei casi, ancora oggi, non viene stipulato alcun contratto che comprenda un accordo relativo alla protezione dei dati personali. 

Quindi, prima di tutto, è importante che il titolare del trattamento stipuli un accordo di protezione dati ed eventualmente decida anche di manlevarsi. 

Secondo, il titolare è tenuto a verificare che le istruzioni date sia nel contratto che verbalmente vengano eseguite.  

Da consulente, ricordo che è sempre importante che queste attività di marketing siano gestite contrattualmente. I rapporti contrattuali devono essere ben chiari e ben definiti, stabilendo chi fa cosa, quali sono le istruzioni, quali le misure di sicurezza e consiglio anche di farsi certificare che quei dati sono stati ottenuti con il consenso di tutti gli utenti. O comunque di chiedere evidenza del consenso associato al dato, in questo caso all’indirizzo e-mail.

Nel corso della mia attività, mi è capitato molte volte di dover negare l’utilizzo di banche dati che erano state raccolte o prima dell’entrata in vigore del GDPR o trasferite nel circuito europeo tra varie filiali di cui non si conosceva l’origine della raccolta. 

Inoltre, ricordo che, nel concreto, quasi sempre i fornitori di mailing list chiedono di manlevarsi sulla lista dei contatti, chiedendo se questi sono stati raccolti in modo lecito. È quindi importante capire qual è l’origine della banca dati, soprattutto quando questi dati sono riferiti a delle persone fisiche e non a delle persone giuridiche. 

Come abbiamo visto nel caso presentato in questo articolo, il Garante ha ritenuto sanzionabile il fornitore per il mancato rispetto delle istruzioni del titolare del trattamento, per non aver verificato la qualità dei dati trattati nell’ambito della campagna di marketing (che nel caso di specie erano stati dati al titolare da altre due società, una svizzera e l’altra statunitense, dunque extra-UE, proprietarie delle banche contenenti i dati di contatto dei potenziali destinatari della campagna di marketing). 

Dunque, il titolare può essere sanzionato nel momento in cui si affida a un fornitore di servizi che non controlla la qualità dei dati che gli sono stati consegnati per l'attività di newsletter.

E questo è solo un assaggio…

Hai appena letto l’articolo tratto da un intervento dell’Avvocato Francesca Bassa su Raise Academy. E quella presentata qui è solo una delle sanzioni comminate dall’autorità Garante per la protezione dei dati personali in materia di marketing. 

Vuoi sapere per quali altri motivi un’azienda – ma anche un’agenzia web o un provider – potrebbe essere sanzionata? 

Hai due possibilità:
1 – Aspettare il prossimo articolo del blog! Parleremo di Social Network e non solo.
2 – Puoi iscriverti subito alla Raise, seguire tutti i corsi con i massimi esperti e iniziare a metterti al riparo dal rischio di ricevere una sanzione…

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy