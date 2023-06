La società che sceglie il partner che effettua la campagna pubblicitaria tramite l’invio delle email è qualificabile come responsabile del trattamento.

1. I fatti

Il Garante per la protezione dei dati personali aveva svolto un procedimento nei confronti di una società, che gestiva un teatro, avente ad oggetto delle attività promozionali che avevano riguardato l’attività culturali della suddetta società. Durante detto procedimento era emerso che un’altra società, che svolgeva attività di marketing e consulenza, aveva curato la promozione delle iniziative culturali del “teatro”, per conto della prima società, ma avvalendosi di un terzo soggetto, il quale si era occupato dell’invio delle e-mail agli utenti. Fra i soggetti destinatari delle suddette email, vi erano anche le due persone che avevano inviato i reclami al Garante, dai quali era partito il primo procedimento.

In considerazione di quanto emerso, quindi, il Garante aveva inviato, alla società di consulenza e marketing, una richiesta di chiarimenti in ordine alla documentazione attestante il rilascio del consenso da parte dei due reclamanti circa l’uso dei loro dati personali. A seguito della mancata risposta da parte di detta società, il Garante aveva avviato il procedimento sanzionatorio, ipotizzando tre diverse violazioni della normativa privacy: i) il mancato controllo circa il partner di cui la società di consulenza e marketing si era avvalsa per effettuare materialmente la campagna promozionale per conto della prima società committente; ii) la mancata adozione di precauzioni nella scelta di detto partner e nell’affidargli il servizio; iii) l’invio di email promozionali senza il consenso degli interessati.

La società di consulenza si era difesa, sostenendo, in primo luogo, che la stessa non conosceva e non aveva accesso ai dati in questione, in quanto erano trattati direttamente dal partner che aveva effettuato l’invio delle email. Inoltre, la stessa non aveva neanche stabilità le finalità e le modalità dei trattamenti, in quanto l’invio di dette email era stato deciso dalla società committente, la quale aveva un rapporto diretto con il soggetto terzo che aveva materialmente provveduto all’invio.

In ragione di ciò, secondo la società di consulenza, la stessa non aveva rivestito né la figura del titolare del trattamento (che era invece riconducibile alla società committente), né quella di responsabile del trattamento (che era invece riconducibile al soggetto terzo), bensì si era limitata a svolgere un ruolo di consulenza e assistenza nell’organizzazione della campagna promozionale in questione.

2. Le valutazioni del Garante

Il Garante ha ritenuto che la difesa della società di marketing, secondo cui la stessa non avrebbe avuto alcun ruolo nel trattamento in quanto non disponeva materialmente dei dati personali usati per la campagna ed in quanto l’invio delle email era stato effettuato dal terzo soggetto, non è sufficiente per escludere la responsabilità della società stessa: secondo il Garante, infatti, la materiale disponibilità die dati non un requisito determinante.

A tal proposito, il Garante ha ricordato che il titolare del trattamento è la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento (non rilevando il fatto che abbia la concreta disponibilità dei dati), mentre è “responsabile del trattamento” il soggetto che tratta dati personali per conto del titolare. Inoltre, è possibile che vi siano delle situazioni di contitolarità nel trattamento, quando le finalità e i mezzi sono determinati congiuntamente da due o più titolari del trattamento stesso.

Nel caso di specie, la società di consulenza non ha adeguatamente provato di essere estranea al trattamento in questione.

Al contrario, dall’istruttoria è emerso che la società ha scelto il terzo soggetto che materialmente si è occupato dell’invio delle email promozionali (mentre la società committente si è limitata solo a condividere la soluzione proposta dalla consulente di marketing).

In considerazione di ciò, anche qualora le parti non abbiano individuato il ruolo (di titolare e/o di responsabile del trattamento), esaminando la dinamica dei fatti che si è concretamente svolta, il Garante ha ritenuto che la società di consulenza abbia agito come responsabile del trattamento. Infatti, al fine di dare esecuzione alle attività richieste dalla committente, la società di consulenza ha provveduto a selezionare nel mercato il soggetto che poi avrebbe realizzato la campagna promozionale ed ha anche fatto pervenire a detto soggetto le istruzioni che aveva concordato con il committente in ordine alla tipologia di destinatari della campagna promozionale e al canale da usare per inviare i messaggi promozionali.

Ebbene, secondo il Garante, qualora un responsabile del trattamento si rivolga ad altri soggetti per effettuare il trattamento, è responsabile dell’adempimento degli obblighi in materia di privacy da parte del terzo soggetto cui si è rivolto.

Nel caso di specie, la società di consulenza non ha provato di aver effettuato gli opportuni controlli prima di affidare il servizio al terzo soggetto: infatti, non ha provato di aver chiesto a detto soggetto la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento, quali l’origine dei dati, l’informativa resa e i consensi acquisiti, né che abbia verificato ciò in altro modo.

3. Il Parere del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che il trattamento posto in essere dalla società di consulenza e marketing, in qualità di responsabile, sia stato effettuato in violazione dei principi di liceità, correttezza e trasparenza ed inoltre non supportato da una idonea base giuridica (in quanto non è stato provato il consenso dell’interessato alla ricezione delle email).

Conseguentemente, il Garante, da un lato, ha ritenuto di ingiungere alla società di consulenza – qualora in futuro intenda avvalersi di soggetti terzi per l’effettuazione delle campagne promozionali – di adottarsi di sistemi per poter verificare in maniera costante che i dati personali siano trattati previa acquisizione del consenso degli interessati (futuri destinatari dei messaggi promozionali).

Dall’altro lato, il Garante ha ritenuto di comminare una sanzione amministrativa a carico della società, che ha deciso di quantificare in €.1.000 (mille), tenendo conto come aggravanti della numerosità dei soggetti coinvolti (circa 700/800 mila), il mancato riscontro alla richiesta del Garante e la mancata adozione di misure volte a mitigare le conseguenze delle violazioni, invece come attenuanti dell’assenza di precedenti e la natura comune dei dati trattati nonché il bilancio della società.

