La società che sceglie il partner che effettua la campagna pubblicitaria tramite l’invio delle email è qualificabile come responsabile del trattamento.
Per approfondimenti in materia vedi il volume: Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
1. I fatti
Il Garante per la protezione dei dati personali aveva svolto un procedimento nei confronti di una società, che gestiva un teatro, avente ad oggetto delle attività promozionali che avevano riguardato l’attività culturali della suddetta società. Durante detto procedimento era emerso che un’altra società, che svolgeva attività di marketing e consulenza, aveva curato la promozione delle iniziative culturali del “teatro”, per conto della prima società, ma avvalendosi di un terzo soggetto, il quale si era occupato dell’invio delle e-mail agli utenti. Fra i soggetti destinatari delle suddette email, vi erano anche le due persone che avevano inviato i reclami al Garante, dai quali era partito il primo procedimento.
In considerazione di quanto emerso, quindi, il Garante aveva inviato, alla società di consulenza e marketing, una richiesta di chiarimenti in ordine alla documentazione attestante il rilascio del consenso da parte dei due reclamanti circa l’uso dei loro dati personali. A seguito della mancata risposta da parte di detta società, il Garante aveva avviato il procedimento sanzionatorio, ipotizzando tre diverse violazioni della normativa privacy: i) il mancato controllo circa il partner di cui la società di consulenza e marketing si era avvalsa per effettuare materialmente la campagna promozionale per conto della prima società committente; ii) la mancata adozione di precauzioni nella scelta di detto partner e nell’affidargli il servizio; iii) l’invio di email promozionali senza il consenso degli interessati.
La società di consulenza si era difesa, sostenendo, in primo luogo, che la stessa non conosceva e non aveva accesso ai dati in questione, in quanto erano trattati direttamente dal partner che aveva effettuato l’invio delle email. Inoltre, la stessa non aveva neanche stabilità le finalità e le modalità dei trattamenti, in quanto l’invio di dette email era stato deciso dalla società committente, la quale aveva un rapporto diretto con il soggetto terzo che aveva materialmente provveduto all’invio.
In ragione di ciò, secondo la società di consulenza, la stessa non aveva rivestito né la figura del titolare del trattamento (che era invece riconducibile alla società committente), né quella di responsabile del trattamento (che era invece riconducibile al soggetto terzo), bensì si era limitata a svolgere un ruolo di consulenza e assistenza nell’organizzazione della campagna promozionale in questione.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Il Garante ha ritenuto che la difesa della società di marketing, secondo cui la stessa non avrebbe avuto alcun ruolo nel trattamento in quanto non disponeva materialmente dei dati personali usati per la campagna ed in quanto l’invio delle email era stato effettuato dal terzo soggetto, non è sufficiente per escludere la responsabilità della società stessa: secondo il Garante, infatti, la materiale disponibilità die dati non un requisito determinante.
A tal proposito, il Garante ha ricordato che il titolare del trattamento è la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento (non rilevando il fatto che abbia la concreta disponibilità dei dati), mentre è “responsabile del trattamento” il soggetto che tratta dati personali per conto del titolare. Inoltre, è possibile che vi siano delle situazioni di contitolarità nel trattamento, quando le finalità e i mezzi sono determinati congiuntamente da due o più titolari del trattamento stesso.
Nel caso di specie, la società di consulenza non ha adeguatamente provato di essere estranea al trattamento in questione.
Al contrario, dall’istruttoria è emerso che la società ha scelto il terzo soggetto che materialmente si è occupato dell’invio delle email promozionali (mentre la società committente si è limitata solo a condividere la soluzione proposta dalla consulente di marketing).
In considerazione di ciò, anche qualora le parti non abbiano individuato il ruolo (di titolare e/o di responsabile del trattamento), esaminando la dinamica dei fatti che si è concretamente svolta, il Garante ha ritenuto che la società di consulenza abbia agito come responsabile del trattamento. Infatti, al fine di dare esecuzione alle attività richieste dalla committente, la società di consulenza ha provveduto a selezionare nel mercato il soggetto che poi avrebbe realizzato la campagna promozionale ed ha anche fatto pervenire a detto soggetto le istruzioni che aveva concordato con il committente in ordine alla tipologia di destinatari della campagna promozionale e al canale da usare per inviare i messaggi promozionali.
Ebbene, secondo il Garante, qualora un responsabile del trattamento si rivolga ad altri soggetti per effettuare il trattamento, è responsabile dell’adempimento degli obblighi in materia di privacy da parte del terzo soggetto cui si è rivolto.
Nel caso di specie, la società di consulenza non ha provato di aver effettuato gli opportuni controlli prima di affidare il servizio al terzo soggetto: infatti, non ha provato di aver chiesto a detto soggetto la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento, quali l’origine dei dati, l’informativa resa e i consensi acquisiti, né che abbia verificato ciò in altro modo.
3. Il Parere del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che il trattamento posto in essere dalla società di consulenza e marketing, in qualità di responsabile, sia stato effettuato in violazione dei principi di liceità, correttezza e trasparenza ed inoltre non supportato da una idonea base giuridica (in quanto non è stato provato il consenso dell’interessato alla ricezione delle email).
Conseguentemente, il Garante, da un lato, ha ritenuto di ingiungere alla società di consulenza – qualora in futuro intenda avvalersi di soggetti terzi per l’effettuazione delle campagne promozionali – di adottarsi di sistemi per poter verificare in maniera costante che i dati personali siano trattati previa acquisizione del consenso degli interessati (futuri destinatari dei messaggi promozionali).
Dall’altro lato, il Garante ha ritenuto di comminare una sanzione amministrativa a carico della società, che ha deciso di quantificare in €.1.000 (mille), tenendo conto come aggravanti della numerosità dei soggetti coinvolti (circa 700/800 mila), il mancato riscontro alla richiesta del Garante e la mancata adozione di misure volte a mitigare le conseguenze delle violazioni, invece come attenuanti dell’assenza di precedenti e la natura comune dei dati trattati nonché il bilancio della società.
Volume consigliato
Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto.
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | Maggioli Editore 2019
Scrivi un commento
Accedi per poter inserire un commento