NEWS

Marketing e legittimo interesse: valida base giuridica solo nel caso del soft spam

Tre recenti provvedimenti del Garante per la privacy (Provv. 25 novembre 2021 [9737185], [9736961], [9738356]) ci consentono di tornare sul tema delle liste consensate nel marketing e richiamare il principio per cui chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati.

Marco Soffientini

(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy. E' docente al Corso specialistico "Il Privacy Officer nel settore della Videosorveglianza")

Sul punto va ricordato che in ossequio al considerando n.47 del Reg. UE 679/2016 la base giuridica del legittimo interesse può essere invocata nel solo caso del soft spam (invio di offerte commerciali riguardanti un bene o un servizio già acquistato), mentre la regola generale è che i trattamenti per finalità di marketing sono leciti unicamente dopo aver acquisito un valido consenso.

La vicenda, è nata su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi (sms) indesiderati. Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere riscontri soddisfacenti su dove avessero acquisito i loro dati personali.

L’istruttoria del Garante ha verificato che la società committente aveva incaricato un’azienda operante nel marketing di inviare sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri fornitori che a loro volta avevano acquisito le banche dati da terzi. In questa successione di passaggi, sul modello delle scatole cinesi, è emerso che i dati delle persone contattate provenivano da liste non verificate – con evidenti profili di illiceità – costituite da soggetti esteri con informazioni in parte derivanti da registrazioni a portali informativi o da concorsi online.

La vicenda richiama la necessità di fare controlli alle liste di verifica anche qualora siano consensate, in quanto è dovere del titolare effettuare controlli anche a campione idonei a comprovare il rispetto, in fase di raccolta, delle disposizioni relative al rilascio dell’informativa, all’acquisizione del consenso, e alle verifiche sul Registro pubblico delle opposizioni.

Il Garante ha quindi sanzionato la società committente per 400.000 euro, in quanto titolare del trattamento dei dati, per non aver mai verificato che l’azienda incaricata dell’attività promozionale eseguisse correttamente le istruzioni previste nel contratto.

Utenti ricevano sms promozionali senza aver dato il consenso: il garante della privacy interviene con sanzioni alle agenzie di marketing

Alla seconda società in quanto fornitore del servizio di marketing, il Garante ha vietato l’uso di dati provenienti da fonti che non rispettino i requisiti minimi di legittimità e ha imposto una sanzione di 200.000 euro.

Una terza società coinvolta nell’istruttoria per acquisire informazioni, ha ricevuto una sanzione di 90.000,00 euro per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di precedente sanzione.

In virtù del principio secondo cui le sanzioni amministrative pecuniarie dovrebbero essere “effettive, proporzionate e dissuasive“(vedi WP 253) tutte le sanzioni sono state calcolate sulla base di vari parametri, tra il cui fatturato societario, il grado di collaborazione offerto e la gravità delle violazioni commesse.

Note Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev L’evoluzione delle automobili connesse ed i rischi in tema di sicurezza e privacy
Next Il contratto di contitolarità: il ruolo, i compiti e le responsabilità del soggetto capofila

Umberto Rapetto: più tutelati con Gdpr ma non bisogna abbassare la guardia

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy