Il Garante per la protezione dei dati personali torna a sanzionare una società per aver posto in essere attività di marketing senza un’idonea e valida base giuridica.
Il provvedimento in esame dell’Autorità nasce a seguito di numerosi reclami avanzati da interessati che si erano visti oggetto di attività di telemarketing da parte di una nota società nell’ambito della vendita di energia elettrica e gas, ovvero Iren Mercato S.p.A. Gli interessati, infatti, avevano ricevuto comunicazioni e telefonate senza che mai avessero prestato un consenso specifico ad Iren per le suddette finalità.
A seguito delle richieste del Garante alla Società, quest’ultima dichiarava come i dati personali degli interessati fossero stati acquisiti da una società italiana specializzata in marketing – Nethex Digital Marketing S.r.l. – che, a sua volta, aveva acquisito le liste anagrafiche da una società di diritto inglese – Walldata Group LLC . Quest’ultima era proprietaria di un sito web – promoemail.org – che raccoglieva dati personali allo scopo di cederli a società terze.
Dalle ulteriori attività ispettive, l’Autorità ha altresì rilevato come Iren non aveva altresì prontamente dato riscontro alle richieste degli interessati ai sensi dell’art. 15 e ss. del Regolamento e non abbia adottato idonee misure di sicurezza tecniche ed organizzative che permettessero di tracciare i consensi che gli utenti rilasciavano alla Società per finalità di marketing. In quest’ultimo caso, infatti, le analisi ispettive condotte Garante hanno evidenziato come i consensi registrati a sistema non permettessero di individuare per quale finalità fossero stati rilasciati dagli utenti e pertanto si riscontravano serie lacune in tema di accountability.
Relativamente al primo punto contestato, Iren – nelle sue memorie difensive – ha avallato la tesi secondo cui Nethex debba considerarsi quale “broker di dati” ovvero società che non svolge un ruolo attivo dal punto di vista della normativa in materia di protezione dei dati personali e pertanto i consensi rilasciati alla società di diritto inglese dovessero essere ritenuti validi alla comunicazione alla stessa Iren, senza tenere in considerazione il passaggio al broker di dati. Tale tesi non è stata accolta dal Garante come valida in quanto Nethex era da considerarsi a tutti gli effetti un titolare del trattamento in quanto ha definito autonomamente le finalità e le modalità del trattamento attraverso la cessione ad Iren dei dati degli interessati precedentemente acquistati da terzi.
La ricostruzione condotta dal Garante ha pertanto messo evidenza una pratica già conosciuta all’Autorità, ovvero che il consenso, inizialmente rilasciato ad un titolare del trattamento anche per attività promozionali di terzi, se può risultare idoneo alla comunicazione dei dati stessi a questi ultimi, non può invece estendere la sua efficacia anche a successive cessioni ad ulteriori titolari, poiché le stesse non possono dirsi supportate dal necessario consenso, specifico ed informato dell’interessato.
Per contro, secondo la tesi difensiva, e con particolare riguardo ad un trattamento riferibile ad attività promozionali di terzi, il richiamo a detti terzi dovrebbe intendersi riferibile ad “indefinite categorie di destinatari” legittimando la comunicazione dei dati tra autonomi titolari in ragione dello specifico consenso informato, inizialmente prestato al soggetto che ha raccolto i dati.
Secondo l’Autorità tale interpretazione giuridica contrasterebbe con la stessa ratio sottesa alla previsione di uno specifico consenso con riguardo al trattamento di comunicazione, ovvero l’esercizio di quell’autodeterminazione informativa che si esprime proprio attraverso il controllo che l’interessato può effettuare sui propri dati rispetto ai rischi di una dispersione o di un utilizzo non conforme alle finalità della relativa raccolta. Non può infatti ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato stesso.
Sulla base delle violazioni riscontrate dall’Autorità, è stata comminata la massima sanzione prevista dal GDPR, ovvero il 4% del fatturato pari a circa 3 milioni di euro per le violazioni degli artt. 5, 6 e 7 del Regolamento in ragione dell’acquisizione di liste di anagrafiche da parte di un soggetto terzo.
Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9670025