10 Mag 2019

Relazione del Garante Privacy 2018 e Marketing

A poco meno di 1 anno dall'entrata in vigore del GDPR, lo scorso 7 maggio il Garante Privacy ha pubblicato la relazione sulle attività svolte nel 2018. Il 2018 è stato un anno "unico" dovendo gestire anche la transizione dal "vecchio" regolamento sul trattamento dei dati personali ed il "nuovo" GDPR. Sappiamo inoltre che nei primi mesi di applicazione del GDPR l'uso delle sanzioni è stato piuttosto moderato, per dar modo ad aziende ed operatori di recepire il cambiamento portato dal GDPR (o meglio, la consapevolezza che ha portato su temi spesso precedentemente esistenti).

Il report di 259 pagine analizza in dettaglio tutti gli aspetti di cui si è occupato il garante: in questo articolo abbiamo estrapolato le parti che riteniamo più interessanti per chi gestisce liste di contatti per fini di marketing.

Data-breach, Segnalazioni e Reclami, Sanzioni riscosse

Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach di cui 630 dal 25 maggio al 31 dicembre 2018 [...].

Le tipologie di violazione più frequenti hanno riguardato:

  • attacchi informatici volti all'acquisizione di dati personali (quali, credenziali di accesso, indirizzi  email, numeri di telefono o dati relativi e strumenti di pagamento);
  • diffusione di virus di tipo ransomware;
  • smarrimento o furto di dispositivi digitali o documenti cartacei;
  • comunicazione o diffusione accidentale di dati personali.

Il numero totale di segnalazioni e reclami gestiti dal Garante nel 2018 è stato di 7.458, di cui:

  • Marketing (posta cartacea, e-mail, fax, sms): 1.385
  • Marketing telefonico: 1.902

Questo ci mostra come buona parte dei reclami ricevuti dal Garante riguardino il marketing, ma che, nonostante la quantità di email inviate superi abbonamentemente le telefonate, sono ancora le telefonate quelle che disturbano di più e che spingono gli "abusati" a rivolgersi al garante.

8.161.806€ è, invece, la cifra riscossa in termini di sanzioni (a fronte di più di 27 milioni di sanzioni comminate nel periodo). L'infografica ci parla anche di 150 ispezioni, 159 ordinanze/ingiunzioni e 27 comunicazioni all'autorità giudiziaria (per quelle ispezioni che hanno rilevato violazioni con profili penali).

Le violazioni più frequentemente sanzionate sono state quelle relative ad operazioni di telemarketing da parte di callcenter (particolarmente aggressivi) di cui il report contiene anche dettagli, ma noi ci soffermiamo su due punti del report che riguardano la raccolta dei consensi e l'uso di indirizzi provenienti da database pubblici.

10.3. Invio di comunicazioni a contenuto promozionale agli indirizzi Pec dei liberi professionisti

Il Garante ha vietato a una società e ad un'associazione ad essa collegata l'invio di email promozionali indesiderate a liberi professionisti [...].
Dalle verifiche [...] è emerso che alcuni collaboratori volontari dell'associazione e una società terza avevano reperito online, massivamente, gli indirizzi Pec di avvocati e, in minor parte, di altri liberi professionisti (commercialisti, revisori contabili, consulenti del lavoro, notai), con varie modalità, manuali e automatizzate.

La società aveva poi spedito comunicazioni a contenuto promozionale (relative alla notizia della pubblicazione di un bando di selezione per "consulente reputazionale", l'invito a partecipare ad un webinar ed articoli concernenti la società mittente) utilizzando tali recapiti, in numero complessivo superiore alle 800.000 email. Oltre ad essere stati trattati senza il necessario consenso, gli indirizzi pec sono risultati rastrellati massivamente (cd. web scraping) mediante appositi software da varie fonti presenti sul web: il registro Ini-Pec; il sito www.registroimprese.it; gli elenchi pubblicati da alcuni ordini professionali provinciali.

Tale condotta è stata ritenuta in contrasto con la normativa di settore [...].

L'Autorità ha inoltre chiarito che, rispetto all'invio delle comunicazioni elettroniche in questione, considerato il loro contenuto promozionale, l'associazione e la società, in qualità di cotitolari del trattamento, avrebbero dovuto acquisire il consenso informato degli interessati.

Peraltro, il Garante ha ribadito che la necessità del previo consenso informato dell'interessato sussiste anche quando idati personali (come, nella fattispecie, una parte degli indirizzi di posta elettronica destinatari delle comunicazioni in parola) siano rinvenibili in altri registri o elenchi pubblici (quali quelli disponibili sul sito www.registroimprese.it o sui siti web istituzionali degli ordini provinciali delle categorie professionali), in quanto l'agevole reperibilità degli stessi non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione.

Né, si è ribadito, viene meno l'illiceità del trattamento in ragione dell'inserimento nelle email indesiderate di un link per la cancellazione dalla mailing list, poiché il consenso richiesto deve essere legittimamente acquisito anteriormente all'invio delle comunicazioni promozionali.

Nell'occasione, non sono state ritenute valide le argomentazioni addotte a sostegno della correttezza del proprio operato dalla società e dall'associazione, le quali, tra l'altro, si ritenevano esentate dalla richiesta del consenso preventivo sulla basedella presunta natura "istituzionale" delle comunicazioni (e in particolare, su riconoscimenti e patrocini ricevuti da parte degli Ordini professionali di appartenenzadegli interessati), non potendo ritenersi tali circostanze idonee a surrogare il necessario consenso informato da parte dei singoli interessati, cui fa capo il diritto alla protezione dei dati personali riconosciuto dal legislatore.

10.4. Utilizzo di pop-up con il consenso obbligato al trattamento per finalità di marketing

Il Garante ha vietato a una società che offre servizi di comparazione sul propriosito web (mutui, assicurazioni, luce, gas, telefonia) il trattamento, per finalità di marketing e di vendita ad altre aziende, dei dati raccolti attraverso un pop-up senza il necessario consenso degli utenti.

Le verifiche ispettive hanno consentito di accertare che il popup in questione non permetteva l'accesso ai servizi offerti se l'utente non accettava, con un consensounico e obbligato, il trattamento dei dati per diverse finalità (fra le quali il marketing o la comunicazione dei dati a terzi). In caso di compilazione delle caselle di testo, ma di mancata spunta del consenso, infatti, il sito non acquisiva i dati inseriti e non consentiva di procedere con la richiesta. Pertanto, ancorché l'informativa facesse riferimento alle diverse finalità ditrattamento di dati, non si consentiva agli utenti di effettuare, come prevede la normativa, una scelta specifica e differenziata per ciascuna diversa finalità di trattamento.

Nel disporre il divieto, il Garante ha ribadito che la "raccolta" (al pari della conservazione) dei dati personali è in sé – a prescindere da eventuali ulteriori trattamenti – un'operazione di trattamento rilevante ai fini della normativa in materia equindi protetta dalla medesima; inquesto senso, le menzionate violazioni sono da ritenersi assorbenti rispetto all'ulteriore violazione ravvisabile, in capo alla società, nella mancata acquisizione, al momento della raccolta, di un libero especifico consenso degli utenti per l'invio di comunicazioni automatizzate a contenuto promozionale.

L'Autorità ha ribadito che tali necessari requisiti del consenso sono chiaramente evidenziati anche dalle Linee guida in materia di attività promozionale e contrastoallo spam del 4 luglio 2013, e sono stati altresì sostanzialmente ribaditi dal RGPD [...].

Nell'ottica di garantire la miglior conformità dei trattamenti di dati svolti, è stata inoltre prescritta alla società, qualora intendesse utilizzare in futuro il pop-up per raccogliere i dati a scopo promozionale (o per altre finalità), la riformulazione del form di raccolta dei dati mediante il menzionato popup affinché venga acquisito dagli utenti un consenso, oltre che informato e documentato per iscritto, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali e alla prevista comunicazione a terzi.

È altresì emerso che nel medesimo database confluivano, in aggiunta ai dati raccolti sul citato sito web, anche i dati personali acquisiti da terzi (fra i quali alcuni segnalanti e alcuni soggetti selezionati a campione fra le liste di dati comunicate alla società dai propri fornitori di liste) rispetto ai quali né in sede di accertamento in loco, né successivamente sono stati forniti elementi idonei a comprovare l'avvenuta manifestazione del necessario consenso secondo le modalità previste dalla legge. Pertanto, anche in relazione alle siffatte attività di marketing e di comunicazione a terzi, sono risultate violate le disposizioni di protezione dei dati personali.

[..]
Il Garante ha pure ribadito che l'acquirente di banche dati deve verificare che "ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario".

[..]
Il Garante ha pertanto vietato anche il trattamento dei dati tratti da elenchi acquisiti da altre imprese e per i quali la società non sia stata in grado di comprovare la manifestazione del consenso libero e specifico degli interessati per finalità di marketing, né quello per la comunicazione ad altri soggetti per scopi promozionali. Inoltre, ha ordinato alla stessa di avvisare tutti i soggetti ai quali ha ceduto liste di dati personali che questi non possono essere utilizzati senza aver acquisito il necessario consenso per le proprie attività.

Riassumendo

Il garante continua semplicemente a rimarcare tre aspetti:

  • per poter inviare materiale promozionale (dove promozionale ha una accezione estremamente allargata) è necessario aver acquisito preventivamente il consenso dell'interessato
  • il consenso dell'interessato deve essere stato rilasciato in maniera libera, specifica ed informata: non si può ottenere il consenso con un ricatto o nascondendolo in qualche procedura di altra natura, e non si possono nemmeno aggregare autorizzazioni di natura differente sotto un singolo consenso.
  • la presenza di dati in elenchi pubblici non autorizza in alcun modo il trattamento dei relativi dati per scopi differenti da quelli previsti dalla pubblicazione.

In pratica sono le stesse cose di cui parliamo da oltre 10 anni.

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)