GDPR E MARKETING: ESTERNALIZZARE IL MARKETING A TERZI NON DERESPONSABILIZZA IL COMMITTENTE, CHE RESTA TITOLARE DEL TRATTAMENTO DATI

Un cittadino lamenta la ricezione di comunicazioni non desiderate, in particolare si può riscontrare la mancata attuazione degli artt. 15, 17 e 21 GDPR.
Interviene il Garante chiedendo informazioni all'azienda coinvolta nella lamentela.
Nell'analizzare il rapporto tra GDPR e marketing, ti offriamo una puntuale sintesi di quanto è accaduto per aiutarti a comprendere come occorre comportarsi per rispettare la compliance e non rischiare sanzioni.

GDPR E MARKETING, IL RECLAMO DI UN UTENTE

Un cittadino di Torino, Il 10 Agosto 2021, ha presentato reclamo presso gli uffici del Garante Privacy.

In particolare, lamentava la ricezione di comunicazioni non desiderate relative ad uno spettacolo teatrale che si sarebbe tenuto poco tempo dopo nella propria città.

Il messaggio, promozionale e finalizzato alla vendita dei biglietti per il suddetto spettacolo, proveniva da indirizzo e-mail non afferente alla società organizzatrice dello spettacolo.

Il dominio, infatti, faceva riferimento ad una terza parte, incaricata dall’azienda organizzatrice dello spettacolo.

Nel reclamo, il cittadino specificava di non aver mai prestato il consenso a ricevere dette comunicazioni promozionali.

Infatti, lamentava anche il mancato riscontro alle sue richieste di esercizio dei propri diritti di cui agli artt. 15, 17 e 21 del GDPR.

GDPR E MARKETING, IL GARANTE AVVIA L’ISTRUTTORIA E L’AZIENDA INVIA MEMORIE DIFENSIVE

Il Garante, di conseguenza, ha avviato l’istruttoria, avvisando l’azienda contestata e richiedendo informazioni.

La società dichiarava fin da subito la propria estraneità alla condotta lamentata dal reclamante.

A partire dal fatto che l’indirizzo e-mail mittente non fosse riconducibile alla società stessa.

Non solo: l’azienda specificava di non aver mai avuto nella propria disponibilità i dati personali del reclamante.

Di conseguenza chiedeva l’estromissione della propria posizione dal procedimento.

Nelle memorie l’azienda specificava di essersi avvalsa, per la pubblicizzazione dello spettacolo teatrale, di una azienda terza.

L’incarico è stato conferito in forma orale, a fronte di un compenso prestabilito.

Il committente si è limitato ad accettare le rassicurazioni dell’agenzia pubblicitaria rispetto alla propria conformità al GDPR.

Di conseguenza, non è stato ritenuto necessario l’avvalersi dei poteri di controllo e di indirizzo in merito al trattamento dei dati personali dei destinatari della campagna.

L’azienda terza ha quindi “agito in totale autonomia sia per quanto riguarda la modalità di promozione sia per quanto riguarda i soggetti destinatari delle stesse attività di promozione” attingendo a proprie liste contatti.

In ultimo: in corso di audizione, l’azienda ha presentato ulteriore documentazione.

Con questa dimostrava che l’agenzia di promozione si era a sua volta avvalsa di un ulteriore soggetto terzo.

Il quale avrebbe affermato di aver cancellato i dati del reclamante.

GDPR E MARKETING: GLI ESITI DELL’ISTRUTTORIA DEL GARANTE PRIVACY

Il primo rilievo del Garante è stata l’assenza di documentazione contrattuale.

Non essendo esplicitamente indicati titolare e responsabile del trattamento, questi sono stati desunti dalla lettura dell’art. 4 GDPR che definisce il titolare.

Nel caso in specie, la campagna promozionale, anche se condotta a mezzo di un indirizzo di posta non riferibile all’azienda committente, in realtà riportava contatti, logo, sito web, riferimenti della stessa.

Per il Garante la configurazione del messaggio è tale da convincere i destinatari di essere stati contattati direttamente dall’azienda committente.

Come affermato dal Garante, il reclamante si è rivolto direttamente all’azienda committente e non alla commissionaria.

Insomma, i contatti a finalità di marketing sono stati effettuati per conto e nell’interesse della società committente.

Società committente che ha anche determinato le finalità del trattamento posto in essere dalla società terza.

Ciò prefigura l’azienda committente come titolare del trattamento dei dati.

Emerge anche come l’azienda committente non abbia effettuato un adeguato controllo sulla società terza.

Non solo non ha redatto alcun atto giuridicamente vincolante (contratto), ma non ha neppure richiesto la documentazione comprovante la conformità alla normativa delle modalità di trattamento dati.

Si è accontentata di accordi e rassicurazioni verbali.

Una violazione di uno dei pilastri del GDPR, quello dell’accountabilty (responsabilizzazione) che “impone a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi“.

Pesa sul punto anche il fatto che l’azienda committente è venuta a conoscenza del coinvolgimento di un ulteriore terza parte nella campagna solo ad istruttoria avviata, a riconferma della scarsa attenzione alle fasi operative del trattamento.

Infine, gioca a sfavore anche il mancato riscontro alle istanze del reclamante, se non solo dopo l’avvio dell’istruttoria da parte del Garante.

GDPR E MARKETING: L’AMMONTARE DELLA SANZIONE DEL GARANTE PRIVACY

Il Garante ha optato quindi per sanzionare l’azienda committente, tenendo conto tutta una serie di fattori che riportiamo qui sotto:

  • della condotta sporadica: agli atti c’è un solo reclamo;
  • dell’immediata interruzione della condotta recriminata;
  • l’eccezionalità della campagna promozionale rispetto alle modalità ordinarie di promozione della società;
  • dello scarso riscontro sia all’interessato che all’Autorità garante;
  • l’assenza di precedenti;
  • il bilancio della società;
  • l’ammontare della sanzione è stata stabilita in 1000 euro.

In particolare, il Garante ha previsto come sanzioni aggiuntive:

  • l’ulteriore trattamento per finalità promozionali di dati raccolti senza consenso;
  • la pubblicazione della ragione sociale aziendale nel provvedimento;
  • l’obbligo di prevedere e implementare misure per dare pieno riscontro alle richieste di esercizio dei diritti da parte degli interessati.

Come avrai notato dall’analisi della vicenda precedentemente descritta, il mancato rispetto del GDPR può comportare sanzioni.

Anche nel rapporto tra GDPR e marketing è indispensabile non venir meno ai principi fondamentali del GDPR come, nel caso descritto, quello dell’accountabilty.

Non sempre, però, per le aziende è semplice destreggiarsi tra tutte le norme e le sentenze che il rispetto del la compliance richiede.

Se hai necessità di conformare la tua attività alle richieste del GDPR e non vuoi rischiare sanzioni, scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila i modulo seguente.