Quando un’azienda decide di svolgere una campagna promozionale tramite posta elettronica utilizzando banche dati acquisite da agenzie di marketing o da altri broker di dati che attestano essere conformi al GDPR è sempre opportuno accertarsi di essere poi in grado di dimostrare che gli interessati abbiano effettivamente dato il consenso a cedere i loro dati a terzi, e che siano stati messi a conoscenza di quali siano le società a cui vengono cedute le informazioni che li riguardano, pena il rischio di incorrere in sanzioni salate.
Il caso ha interessato la prima azienda francese di energia elettrica che negli anni 2020 e 2021 aveva condotto una campagna promozionale tramite posta elettronica nei confronti di utenti che in molti casi cercavano di opporsi alla ricezione dei messaggi lamentando di non aver fornito alcun consenso alla compagnia e di riscontrare difficoltà nell’esercitare i propri diritti, in alcuni casi non ottenendo neppure risposta alle loro richieste, e in altri casi ricevendo informazioni inesatte sull’origine della raccolta dei loro dati personali.
Chiamato in causa il Garante Privacy francese (CNIL), la società non era stata in grado di dimostrare l’ottenimento di un valido consenso dagli interessati, limitandosi a esibire un esempio di modulo standard con cui un broker di dati avrebbe raccolto i dati dai potenziali clienti che avrebbero dato la loro autorizzazione a condividere le loro informazioni con altri partner commerciali, di cui però non era stata fornita evidenza agli interessati, i quali si erano quindi trovati ad esprimere un consenso “alla cieca” senza essere messi in condizione di sapere a chi sarebbero andati effettivamente i loro dati personali.
Durante le indagini la società elettrica ha ammesso di non aver effettivamente verificato i moduli di consenso utilizzati né di aver effettuato alcuna verifica della regolarità delle banche dati acquisite dai broker di dati, e alla fine dell’istruttoria l’autorità ha precisato che l’elenco dei partner a cui sarebbero stati comunicati i dati avrebbe dovuto essere stato messo a disposizione degli interessati direttamente nell’informativa, o almeno tramite un link ad una pagina online.
Per questo la CNIL ha contestato la violazione del Codice sulle comunicazioni postali ed elettroniche francese e dell’art. 7 del GDPR, in cui il Regolamento richiede che “qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”, oltre al mancato rispetto degli obblighi di informazione (artt. 13 e 14 del GDPR), quello del rispetto dell’esercizio dei diritti di accesso (art. 15) e quello di opposizione dell’interessato (art. 21) a ricevere le comunicazioni commerciali, riscontrando inoltre anche carenze sulle misure di sicurezza previste dall’art. 32 del Regolamento UE per la conservazione delle password di accesso al portale senza adeguata protezione.