Privacy – Il committente di una campagna promozionale è titolare del trattamento anche se non ha raccolto i dati personali oggetto di trattamento.
>>>Leggi l’Ordinanza n. 349 del 20-10-2022<<<
1. I fatti
Una persona inviava un reclamo al Garante per la protezione dei dati personali, con cui sosteneva di aver ricevuto una comunicazione indesiderata proveniente da un certo indirizzo di posta elettronica, che aveva ad oggetto la promozione di prodotti commercializzati dalla una società italiana. Il reclamante, inoltre, affermava di non aver mai prestato il proprio consenso per la ricezione della suddetta comunicazione promozionale e che la società in questione non aveva mai dato riscontro alla sua richiesta di esercizio dei diritti in materia di privacy.
A seguito di contatto telefonico da parte del Garante e di successiva richiesta ulteriore di esercizio dei diritti da parte del reclamante, la società dichiarava di non detenere l’indirizzo email dell’interessato e quindi di non aver utilizzato tale dato per l’invio della comunicazione lamentata nel reclamo.
In considerazione del fatto che la comunicazione cui il reclamante faceva riferimento presentava nel contenuto la promozione dei prodotti della suddetta società italiana, anche se la comunicazione era stata disconosciuta dalla società medesima, e del fatto che quest’ultima non era stato in grado di comprovare l’adozione di adeguate misure tecniche e organizzative della sua iniziativa promozionale, nonché del fatto che la stessa risposta di chiarimenti della società denotava che la stessa non era in grado di controllare la filiera dei partner che effettuavano per lei le campagne promozionali, il Garante contestata alla società la violazione del principio di accountability (per non aver provato gli adempimenti effettuati in materia di protezione dei dati personali) nonché l’invio di una email promozionale in assenza del consenso dell’interessato e apriva nei suoi confronti il procedimento sanzionatorio.
La reclamata si difendeva sostenendo di essere la mera committente di una campagna pubblicitaria per la quale aveva incaricato un’altra società italiana, la quale – a propria volta – si era avvalsa di collaboratori esterni, tra i quali una società spagnola che aveva inviato il messaggio in questione (ed altri dello stesso tenore).
Inoltre, la società spagnola trasmetteva al reclamante una nota in cui dichiarava di aver trattato i suoi dati personali in virtù di un apposito consenso all’invio di comunicazioni commerciali, che aveva acquisito nell’aprile del 2018 all’esito della registrazione ad un sito internet gestito da una società con sede legale a Londra.
Infine, dall’istruttoria effettuata dal Garante sul sito internet gestito dalla suddetta società londinese, emergeva che detto sito presentava forti criticità sull’acquisizione del consenso dell’interessato. In particolare, emergeva che il sto internet – nel 2018 – fosse una mera vetrina di un soggetto terzo, senza alcuna informativa privacy, né alcun form per l’acquisizione dei dati e neppure richieste di consenso da selezionare per le distinte finalità promozionali e per la cessione dei dati a terzi per scopi pubblicitari. Inoltre, risultava che la società londinese si era iscritto al registro delle imprese inglese soltanto in data 2021 (quindi 3 anni dopo che sarebbe stato acquisito il consenso che avrebbe legittimato l’invio della comunicazione di cui è causa).
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Secondo le ricostruzioni difensive di tutti i soggetti coinvolti nel trattamento dei dati del reclamante, questi sarebbero stati presenti nella banca dati della società inglese e da questi legittimamente acquisiti in virtù del consenso del reclamante medesimo, quindi sarebbero stati trattati dalla società spagnola, su incarico della società appaltatrice italiana, la quale aveva a sua volta ricevuto dalla reclamata l’incarico di effettuare una campagna di marketing: quindi, tutti detti soggetti hanno individuato nella società inglese la titolare del trattamento compiuto nell’ambito della suddetta complessa filiera.
Tuttavia, la reclamata non è stata in grado di documentare l’esatta origine dei suddetti dati del reclmante.
Secondo il Garante, il titolare del trattamento è la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento. In altri termini, il titolare è il soggetto che stabilisce quali obiettivo deve avere il trattamento e con quali modalità deve essere fatto. Mentre è del tutto irrilevante la qualificazione contrattuale dei ruoli dei vari soggetti coinvolti.
In ragione di ciò, il committente di una campagna promozionale, indipendentemente dalla materiale raccolta dei dati personali, deve essere ritenuto come il titolare del trattamento, in quanto è il soggetto che determina in concreto le scelte sulle finalità e sulle modalità per porre in essere il trattamento.
Nel caso oggetto di esame da parte del Garante, è stata la società reclamata a stabilire il fine per cui sono state inviate le email promozionali (fra cui quella ricevuta dal reclamante), in quanto ha affidato alla appaltatrice (cioè l’altra società italiana) il compito di realizzare una campagna pubblicitaria del proprio marchio.
Ebbene, secondo il Garante, la reclamata, nonostante sia qualificabile come titolare del trattamento, non ha documentato:
(i) quali criteri siano stati adottati per selezionare i partner di cui si è avvalsa per la campagna promozionale;
(ii) quali siano state le istruzioni che avrebbe dato a tali partner per realizzare la campagna nel rispetto della normativa in materia di privacy;
(iii) quali siano stati gli accordi o le direttive per qualificare in concreto i ruoli e le responsabilità propri e dei vari partner;
(iv) di aver richiesto alla appaltatrice la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento (infatti non ha mai chiesto alla appaltatrice di documentare da dove provenissero i dati utilizzati nella campagna, né la va loro base giuridica).
Invece, se la reclamata avesse usato l’ordinaria diligenza, avrebbe potuto agevolmente capire che mancavano alcuni importanti presupposti di garanzia della liceità del trattamento (non fosse altro per il fatto che la società inglese, che avrebbe dovuto detenere il consenso dell’interessato, era stata costituita 3 anni dopo la prestazione dell’asserito consenso).
In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla reclamata configura una violazione delle norme in tema di accountability del titolare del trattamento nonché di quelle riguardo l’invio di messaggi promozionali senza il consenso informato dell’interessato.
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto di applicare, in primo luogo, una misura nei confronti della reclamata contenente il divieto di trattamento dei dati personali raccolti senza che sia stato acquisito il necessario preventivo consenso informato, libero, specifico, inequivocabile e documentato degli interessati in relazione all’attività di marketing.
In secondo luogo, il Garante ha ritenuto di applicare una sanzione pecuniaria alla reclamata, che ha quantificato tenendo in considerazione diversi aspetti favorevoli e sfavorevoli: da un lato, ha valutato particolarmente grave l’elemento soggettivo della condotta (in quanto la reclamata ha sempre cercato di eludere alle richieste di informazione rivolte dall’interessato e dal Garante) nonché non adeguato il grado di cooperazione durante il procedimento; dall’altro lato, ha valutato la mancanza di precedenti specifici in tema di violazione della normativa a tutela dei dati personali a carico della società reclamata e la natura di tipo comune dei dati trattati. Conseguentemente, il Garante, tenuto anche conto delle condizioni economiche della reclamata, ha comminato al titolare del trattamento una sanzione amministrativa pecuniaria di €. 20.000 (ventimila).
Volume consigliato
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento