A riprova del fatto che i dati sono il nuovo petrolio, esiste un vero e proprio “mercato” di liste di contatti, ossia soggetti che vendono data base contenenti dati personali che gli acquirenti possono utilizzare per campagne di marketing diretto. Il fenomeno prende il nome di list brokering e il list broker è, per l’appunto, il soggetto che fornisce ai suoi committenti elenchi che contengono dati personali di potenziali clienti (come l’indirizzo e-mail) allo scopo di condurre campagne promozionali e pubblicizzare i prodotti o i servizi dei committenti stessi.
Data la delicatezza del “materiale” compravenduto (i nostri dati personali, benché spesso siamo noi stessi i primi a mal-trattarli, sono protetti addirittura dalla Carta di Nizza), il list brokering è un’attività piuttosto delicata, che richiede cautele e modalità ben precise e stringenti per essere fatta in maniera lecita.
Affidarsi a un list broker poco avveduto o troppo disinvolto nella “compravendita” delle liste potrebbe rivelarsi assai controproducente: benché fornite da terzi, infatti, la responsabilità della liceità della raccolta delle liste e dei dati ivi contenuti resta in capo al titolare del trattamento (l’acquirente, per intenderci) che sceglie di avvalersi di un list broker: stabilendo modalità e finalità del trattamento deve garantire che tutta l’operazione di marketing (compresa la raccolta dei contatti) avvenga nel rispetto del GDPR (Regolamento Europeo per la Protezione dei Dati Personali 679/2016).
A questo scopo il titolare del trattamento non potrà basare la propria conformità alla normativa sulla protezione dei dati solo sulle affermazioni del fornitore, ma dovrà accertarsi che la raccolta dei dati sia avvenuta in modo lecito.
Per approfondire consigliamo il volume: Marketing e Trattamento Dati -Regole e sanzioni dopo GDPR e nuovo Codice privacy
1. Vediamo come
La prima cosa da tenere a mente è che la raccolta di dati da parte del list broker deve essere preceduta dal rilascio di un’informativa, nella quale siano chiarite sia le finalità di marketing, sia se i dati raccolti saranno oggetto di vendita o condivisione con terzi, indicando chiaramente le categorie merceologiche o economiche dei soggetti ai quali verranno ceduti i dati per scopi di direct marketing.
Nell’informativa si dovrà altresì richiede agli interessati il consenso, che è condizione di liceità (base giuridica) dell’attività di marketing.
Questo deve essere specifico e documentato: specifico significa che deve essere separato dagli altri (quindi granulare); documentato indica il fatto che se ne debba tenere traccia, insomma deve essere dimostrabile.
Il titolare del trattamento che si serve del list broker e che intende trattare i dati da questo forniti, dovrà poi rilasciare un’informativa propria e autonoma ai sensi dell’art. 14 del GDPR (dati personali non ottenuti presso l’interessato), nella quale dovrà essere precisata l’origine dei dati, in modo che gli interessati possano eventualmente rivolgersi anche al fornitore di dati per l’esercizio dei loro diritti.
Ma gli adempimenti del titolare del trattamento non si esauriscono nell’informativa.
Anzi, ai fini della conformità al GDPR dell’attività di marketing e della propria accountability, egli dovrà verificare tutta una serie di elementi:
- il primo elemento essenziale è la fonte dei dati, ovvero se questi siano stati raccolti direttamente presso l’interessato o se siano stati reperiti altrove. Questo onde evitare quelle lunghe filiere di trattamenti che potrebbero essere causa di sanzioni elevate da parte delle Autorità di controllo, come vedremo più avanti;
- il soggetto che materialmente ha raccolto i dati, ovvero il list broker, o ulteriori terze parti delle quali, però, devono essere definiti i compiti e responsabilità, onde evitare il rimpallo della titolarità;
- le modalità di raccolta dei dati e l’informativa fornita agli interessanti al momento della raccolta degli stessi con tutte le relative formule di consenso (la cui prestazione deve essere documentata!) con annessa indicazione dei soggetti o delle categorie merceologiche o economiche dei soggetti ai quali i dati sono stati ceduti per scopi di direct marketing. Questa verifica spesso viene completamente omessa e questa omissione è determinante nella definizione e nell’irrogazione delle sanzioni da parte delle autorità garanti. Occorre sottolineare che in ogni caso il trattamento dei dati non deve trasformarsi in una lunga filiera di trattamenti da una società all’altra ad un’altra ancora e che il consenso non deve configurarsi come una “catena di S. Antonio”: dalla raccolta dei dati del primo titolare, ci può essere solo un secondo titolare diretto, tramite lo stesso consenso. I dati non si possono trasferire ulteriormente ad altri titolari: nel caso sarà necessario raccogliere un nuovo consenso.
- Considerato che una delle lamentele rappresentate dagli interessati in molti casi di sanzione è l’impossibilità o la difficoltà dell’esercizio dei diritti, il titolare del trattamento dovrà verificare come questo viene gestito da parte del list broker: se l’interessato è scontento e sporge reclamo al Garante privacy, il non aver controllato puntualmente questo punto getterà discredito su tutta l’attività di marketing.
Una volta svolte tutte queste verifiche, il titolare del trattamento potrà contare sulla prova della propria accountability e confidare che le proprie iniziative promozionali siano conformi alla normativa sul trattamento dei dati personali.
Potrebbero interessarti anche:
2. Sanzioni eccellenti
Il 24 novembre del 2022, la CNIL (il Garante privacy francese) ha irrogato una sanzione amministrativa da 600.000 euro nei confronti della società EDF (società francese dell’energia elettrica) che non è stata in grado di dimostrare il rispetto degli obblighi imposti dalla normativa sulla protezione dei dati personali.
Le indagini dell’autorità di controllo erano iniziate in precedenza e a seguito di un gran numero di reclami ricevuti da utenti che cercavano di opporsi all’invio di e-mail promozionali da parte della società elettrica francese.
Questi interessati, in particolare, lamentavano non solo di non aver prestato alcun consenso ma addirittura di trovare difficoltà nell’esercizio dei propri diritti considerato che qualcuno di loro non ha ricevuto risposta alle richieste, e qualcun altro ha ricevuto, invece, informazioni errate sull’origine della raccolta dei loro dati personali.
In seguito all’apertura del procedimento, la CNIL ha scoperto che tra il 2020 e il 2021, EDF ha condotto una campagna di direct marketing a mezzo posta elettronica.
Nei casi in cui il trattamento dei dati sia basato sul consenso (come avviene appunto per le operazioni di marketing), il titolare del trattamento deve dimostrare che l’interessato abbia preventivamente prestato il consenso al trattamento dei dati personali che lo riguardano.
La società elettrica francese non è stata in grado di dimostrare alla CNIL di aver ottenuto questo previo consenso da parte delle persone fisiche a cui questi messaggi promozionali erano indirizzati.
Durante le indagini, la stessa ha fornito all’autorità di controllo solo due esempi di un modulo standard per la raccolta di dati di potenziali clienti fornito da un list broker (ovvero un fornitore di liste di contatto), ma non è stata in grado di fornire un elenco dei partner ai quali questi dati sarebbero stati inviati, anche se tale elenco deve essere messo a disposizione delle persone quando esprimono il loro consenso ai fini delle operazioni di marketing.
Inoltre, l’EDF ha ammesso di non aver verificato i moduli di consenso utilizzati e di non aver effettuato alcuna verifica presso gli intermediari fornitori di liste di contatti sulla liceità della raccolta dei dati.
Le indagini effettuate dalla CNIL hanno poi consentito di rilevare ulteriori violazioni:
• Violazione dell’obbligo di informazione degli interessati: l’informativa presente sul sito web della società non specificava la base giuridica del trattamento dei dati e non era chiara sul periodo di conservazione di questi. Inoltre, nella prima e-mail promozionale inviata da EDF agli interessati, l’origine dei dati non era indicata in modo sufficientemente preciso: si spiegava solo che i dati erano stati raccolti da un list broker, senza indicare con precisione da dove provenissero.
• Violazione degli obblighi relativi alle modalità di esercizio dei diritti (art. 12 GDPR): in particolare, la società non ha dato riscontro ad alcuni reclamanti nel termine previsto dal regolamento.
• Violazione dell’obbligo di rispettare il diritto di accesso e il diritto di opposizione dell’interessato. La società ha fornito informazioni inesatte sull’origine dei dati raccolti e non ha tenuto conto dell’opposizione alla ricezione di e-mail promozionali.
Da mail promozionali indesiderate, si è condotta un’istruttoria che ha portato all’irrogazione di seicentomila euro di sanzione.
In Italia, invece, il 20 ottobre 2022, il Garante per la protezione dei dati personali ha emesso il provvedimento n. 349, con il quale ha inflitto a Occhiali24.it s.r.l. una sanzione amministrativa pecuniaria di 20.000 euro per violazione degli artt. (2), 6(1)(a), 24 e 25(1) del Regolamento UE 2016/679 (GDPR), a seguito di un reclamo presentato da un interessato nell’agosto del 2021.
In particolare, quest’ultimo, proprio come nel caso francese, aveva lamentato sia la ricezione di una e-mail promozionale indesiderata, relativa all’offerta di prodotti di questa s.r.l.., per la quale, però, non aveva mai prestato il proprio consenso, sia il mancato riscontro alla richiesta di esercizio dei diritti.
Durante l’istruttoria, la s.r.l. ha dichiarato la propria estraneità rispetto alla condotta contestata nel reclamo, precisando che i dati dell’interessato risultavano essere presenti nelle liste di contatto di una società terza, utilizzate per finalità di marketing.
Il Garante ha, però, osservato che la società, in qualità di titolare del trattamento, aveva stabilito la finalità per la quale il trattamento è stato effettuato affidando alla società terza l’incarico di realizzare una campagna pubblicitaria per il proprio marchio, e, a sua volta, la società terza, per la quale è stato poi avviato un autonomo procedimento, ha ottenuto gli elenchi di indirizzi di posta elettronica da terzi al fine di svolgere l’attività promozionale.
Il Garante, nel suo provvedimento ha sottolineato come la società oggetto di reclamo non avesse mai chiesto alla società terza di documentare la provenienza dei dati, né la base giuridica alla base del loro trattamento per finalità di marketing.
Il Garante ha infine ritenuto che, da un controllo improntato a criteri di ordinaria diligenza, sarebbe stato possibile per la società rilevare la mancanza dei presupposti di liceità del trattamento.
Alla luce di questo, l’Autorità amministrativa ha affermato che Occhiali24.it s.r.l. non ha controllato adeguatamente le operazioni di trattamento finalizzate alla realizzazione della campagna promozionale, con conseguente impossibilità di dimostrare il rispetto del principio di accountability, anche nell’ottica di favorire la Privacy by Design.
Infine, il Garante ha precisato che inviare messaggi promozionali senza il consenso informato dell’interessato, viola l’art. 6, comma 1, lett. a), del GDPR e in conclusione, ha emesso la sanzione.
Volume consigliato per l’approfondimento:
Marketing e Trattamento Dati
L’attività promozionale e commerciale può essere svolta attraverso molteplici strumenti e canali (e-mail, SMS, messaggi diretti sui social o push notification) e mediante diverse iniziative e operazioni (come organizzazione di contest e eventi gratuiti o pubblicazione di immagini e contenuti su blog o su social network) da cui deriva un trattamento di dati personali che obbliga, fin dalla fase di pianificazione e pro- gettazione, a tenere in considerazione le prescrizioni del Regolamento UE 2016/679 (GDPR) e del D.Lgs.n. 196/2003 (Codice privacy), così come modificato dal D.Lgs. n. 101/2018 (decreto di adeguamento dell’ordinamento nazionale al Regolamento UE 2016/679).Il volume si rivolge, pertanto, sia agli operatori commerciali che ai loro consulenti, con l’obiettivo di chiarire le regole da seguire per svolgere attività di marketing nel rispetto della normativa in materia di protezione dei dati personali, indicando i profili di maggior rilievo da dover considerare per non commettere errori e, di conseguenza, per evitare sia il rischio di sanzioni e responsabilità, sia quello – non meno rilevante – di compromettere l’immagine aziendale o professionale.ROBERTA RAPICAVOLIAvvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti.È autrice di libri e si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.
Rapicavoli Roberta | Maggioli Editore 2019
Scrivi un commento
Accedi per poter inserire un commento