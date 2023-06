2. Sanzioni eccellenti



Il 24 novembre del 2022, la CNIL (il Garante privacy francese) ha irrogato una sanzione amministrativa da 600.000 euro nei confronti della società EDF (società francese dell’energia elettrica) che non è stata in grado di dimostrare il rispetto degli obblighi imposti dalla normativa sulla protezione dei dati personali.

Le indagini dell’autorità di controllo erano iniziate in precedenza e a seguito di un gran numero di reclami ricevuti da utenti che cercavano di opporsi all’invio di e-mail promozionali da parte della società elettrica francese.

Questi interessati, in particolare, lamentavano non solo di non aver prestato alcun consenso ma addirittura di trovare difficoltà nell’esercizio dei propri diritti considerato che qualcuno di loro non ha ricevuto risposta alle richieste, e qualcun altro ha ricevuto, invece, informazioni errate sull’origine della raccolta dei loro dati personali.

In seguito all’apertura del procedimento, la CNIL ha scoperto che tra il 2020 e il 2021, EDF ha condotto una campagna di direct marketing a mezzo posta elettronica.

Nei casi in cui il trattamento dei dati sia basato sul consenso (come avviene appunto per le operazioni di marketing), il titolare del trattamento deve dimostrare che l’interessato abbia preventivamente prestato il consenso al trattamento dei dati personali che lo riguardano.

La società elettrica francese non è stata in grado di dimostrare alla CNIL di aver ottenuto questo previo consenso da parte delle persone fisiche a cui questi messaggi promozionali erano indirizzati.

Durante le indagini, la stessa ha fornito all’autorità di controllo solo due esempi di un modulo standard per la raccolta di dati di potenziali clienti fornito da un list broker (ovvero un fornitore di liste di contatto), ma non è stata in grado di fornire un elenco dei partner ai quali questi dati sarebbero stati inviati, anche se tale elenco deve essere messo a disposizione delle persone quando esprimono il loro consenso ai fini delle operazioni di marketing.

Inoltre, l’EDF ha ammesso di non aver verificato i moduli di consenso utilizzati e di non aver effettuato alcuna verifica presso gli intermediari fornitori di liste di contatti sulla liceità della raccolta dei dati.

Le indagini effettuate dalla CNIL hanno poi consentito di rilevare ulteriori violazioni:

• Violazione dell’obbligo di informazione degli interessati: l’informativa presente sul sito web della società non specificava la base giuridica del trattamento dei dati e non era chiara sul periodo di conservazione di questi. Inoltre, nella prima e-mail promozionale inviata da EDF agli interessati, l’origine dei dati non era indicata in modo sufficientemente preciso: si spiegava solo che i dati erano stati raccolti da un list broker, senza indicare con precisione da dove provenissero.

• Violazione degli obblighi relativi alle modalità di esercizio dei diritti (art. 12 GDPR): in particolare, la società non ha dato riscontro ad alcuni reclamanti nel termine previsto dal regolamento.

• Violazione dell’obbligo di rispettare il diritto di accesso e il diritto di opposizione dell’interessato. La società ha fornito informazioni inesatte sull’origine dei dati raccolti e non ha tenuto conto dell’opposizione alla ricezione di e-mail promozionali.

Da mail promozionali indesiderate, si è condotta un’istruttoria che ha portato all’irrogazione di seicentomila euro di sanzione.

In Italia, invece, il 20 ottobre 2022, il Garante per la protezione dei dati personali ha emesso il provvedimento n. 349, con il quale ha inflitto a Occhiali24.it s.r.l. una sanzione amministrativa pecuniaria di 20.000 euro per violazione degli artt. (2), 6(1)(a), 24 e 25(1) del Regolamento UE 2016/679 (GDPR), a seguito di un reclamo presentato da un interessato nell’agosto del 2021.

In particolare, quest’ultimo, proprio come nel caso francese, aveva lamentato sia la ricezione di una e-mail promozionale indesiderata, relativa all’offerta di prodotti di questa s.r.l.., per la quale, però, non aveva mai prestato il proprio consenso, sia il mancato riscontro alla richiesta di esercizio dei diritti.

Durante l’istruttoria, la s.r.l. ha dichiarato la propria estraneità rispetto alla condotta contestata nel reclamo, precisando che i dati dell’interessato risultavano essere presenti nelle liste di contatto di una società terza, utilizzate per finalità di marketing.

Il Garante ha, però, osservato che la società, in qualità di titolare del trattamento, aveva stabilito la finalità per la quale il trattamento è stato effettuato affidando alla società terza l’incarico di realizzare una campagna pubblicitaria per il proprio marchio, e, a sua volta, la società terza, per la quale è stato poi avviato un autonomo procedimento, ha ottenuto gli elenchi di indirizzi di posta elettronica da terzi al fine di svolgere l’attività promozionale.

Il Garante, nel suo provvedimento ha sottolineato come la società oggetto di reclamo non avesse mai chiesto alla società terza di documentare la provenienza dei dati, né la base giuridica alla base del loro trattamento per finalità di marketing.

Il Garante ha infine ritenuto che, da un controllo improntato a criteri di ordinaria diligenza, sarebbe stato possibile per la società rilevare la mancanza dei presupposti di liceità del trattamento.

Alla luce di questo, l’Autorità amministrativa ha affermato che Occhiali24.it s.r.l. non ha controllato adeguatamente le operazioni di trattamento finalizzate alla realizzazione della campagna promozionale, con conseguente impossibilità di dimostrare il rispetto del principio di accountability, anche nell’ottica di favorire la Privacy by Design.

Infine, il Garante ha precisato che inviare messaggi promozionali senza il consenso informato dell’interessato, viola l’art. 6, comma 1, lett. a), del GDPR e in conclusione, ha emesso la sanzione.