Social Network, GDPR e sanzioni del Garante: il caso dell’uso non conforme di LinkedIn

29 marzo 2023Ultimo aggiornamento 11 luglio 2024
Tempo di lettura stimato: 4'
In un articolo precedente sul tema marketing, GDPR e provvedimenti del Garante, abbiamo approfondito la sanzione comminata dall’autorità ad alcune aziende a causa dell’acquisizione illecita di banche dati per attività promozionali veicolate tramite newsletter. Dove, “la multa” non ha riguardato solo il titolare del trattamento, ma anche i responsabili esterni e i list provider. 

Questa volta, esaminiamo una delle altre attività vulnerabili – e quindi più esposte al rischio di sanzione - tipiche dell’ambito marketing: l’uso dei Social Network e in particolare di LinkedIn

Un ammonimento e una sanzione all’azienda che usa i contatti LinkedIn per fini promozionali: il caso in breve

Il Garante italiano per la protezione dei dati è intervenuto ammonendo e sanzionando un'agenzia immobiliare che proponeva i suoi servizi alla proprietaria di un immobile, usando i contatti di LinkedIn

In questo caso, l’autorità ha rivolto un ammonimento all'agenzia, invitandola ad adottare idonee misure organizzative. Il Garante ha ritenuto la misura sufficiente e proporzionata, considerando il fatto che si trattava di una piccola impresa esposta alla crisi economica causata dalla pandemia, che non risultavano ulteriori procedimenti a suo ricarico e si è trattato di un solo contatto diretto alla reclamante.  

L'agenzia comunque ha dovuto subire una sanzione di 5.000 euro per non aver fornito riscontro alle reiterate richieste di informazioni del Garante, rendendo necessaria la notifica tramite il nucleo speciale privacy della Guardia di Finanza.

Il punto, quindi, è anche fare attenzione a usare il social in maniera conforme, rispetto alle sue finalità. 

Scegliere i Social con cui promuoversi, consapevolmente

C’è Social e Social. Nel senso che è molto importante che l'azienda scelga il social giusto, in funzione del suo core business. Per esempio, alcune aziende fanno pubblicità solo su Instagram, altre hanno deciso di farla su TikTok, altre ancora non possono farla su TikTok e usano ancora Facebook o LinkedIn. In ogni caso, il dipartimento marketing deve fare una valutazione e decidere quale social usare. Poi, la seconda questione, è comprendere la finalità di ogni social

Per esempio, LinkedIn è un social che ha come finalità lo scambio di contatti al fine di fornire opportunità di lavoro. Non mira a vendere nulla. 

Quindi, nel momento in cui siamo su un social come LinkedIn, dobbiamo chiederci se contattare un certo utente si può fare, dato il contesto in cui ci troviamo. 
 
Nel caso preso in esame, l’agenzia aveva contattato la reclamante non per un’opportunità di lavoro, ma per venderle un immobile. E il Garante a questo proposito ci ricorda che:

“LinkedIn è una piattaforma che ha come finalità lo scambio di contatti al fine di fornire opportunità di lavoro e non prevede che gli utenti del social network possano utilizzare la piattaforma per inviare messaggi ad altri utenti, con lo scopo di vendere prodotti e servizi, anche se in ciò consiste la propria attività lavorativa.” 

Vuoi promuovere la tua azienda sui social? Il consiglio del consulente: è bene darsi delle policy di condotta

Quando si parla di social network, è opportuno creare delle Social Media Policy, facendo in modo che i dipendenti sappiano come utilizzare questi social all'interno dell'organizzazione aziendale, per i loro rapporti e per i rapporti con il loro superiore gerarchico. 

I titolari del trattamento, infatti, sono tenuti a darsi delle policy di condotta sull'utilizzo dei social, come avviene, per esempio, con la messaggistica e in particolare con WhatsApp (ai miei clienti consiglio sempre di fare attenzione ad aprire un gruppo WhatsApp aziendale e a verificare che i numeri di telefono non siano in chiaro). 

È importante che il titolare dimostri la sua accountability, anche adottato queste policy. 
Nella pratica, però, accade spesso che si debba fare uno sforzo per riuscire a farle entrare nel circuito aziendale…

Questo è solo un assaggio!

Hai appena letto l’articolo tratto da un intervento dell’Avvocato Francesca Bassa su Raise Academy, che si conclude con una riflessione: è molto difficile far rispettare le policy ai dipendenti. 

Perché? Perché non sono consapevoli!

Se non sei consapevole del fatto che non si può contattare una persona su LinkedIn allo scopo di vendere qualcosa, non sei neanche consapevole dell’uso che fai di quel social. 

Esempio. Prendi Peppino, che tutti i sabati va in discoteca e una volta invita anche Francesco e Antonio. Si fanno un selfie, ubriachi. Il giorno dopo Peppino pubblica la foto sui social – su LinkedIn magari… - taggando gli altri due, perché pensa che sia una goliardata fra colleghi. Solo che gli utenti vedono benissimo che Peppino, Francesco e Antonio lavorano tutti per la ditta XYZ…

Queste cose non si fanno. Ma capita. Capita perché non si è consapevoli. 

Per essere consapevoli, la base – sottolineiamo “la base” – è la formazione. 

Vuoi saperne di più? Aspetta il prossimo articolo o iscrivi subito alla Raise!

Finora abbiamo visto due casi di intervento del Garante in materia di marketing e GDPR. Vuoi sapere quali altre sanzioni sono state comminate? Hai 2 possibilità:

1 – Aspettare il prossimo articolo del blog! Parleremo di cookie e di Google Analytics.
2 – Puoi iscriverti subito alla Raise, seguire tutti i corsi con i massimi esperti e iniziare a metterti al riparo dal rischio di ricevere una sanzione…
Perché la formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy