Marketing, GDPR e sanzioni del Garante: il caso delle scatole cinesi
I provvedimenti del Garante privacy ci aiutano a capire come orientare la nostra attività di consulenti e di aziende, per rimanere nel perimetro di conformità definito dal GDPR. Rispetto alle attività di marketing, in particolare, l’autorità si è pronunciata più volte ed è per questo che, nell’approfondimento che segue, ci concentreremo proprio sui provvedimenti e le sanzioni comminate negli anni alle aziende, per violazioni relative ad attività promozionali e di vendita.
Una delle attività più vulnerabili – e più facilmente passibili di sanzione – in ambito marketing, è l’acquisizione di banche dati.
A proposito di questa, in un recente provvedimento, il Garante italiano per la protezione dei dati ha comminato una sanzione nei confronti di diverse società, colpevoli di aver commissionato una campagna promozionale sul modello delle scatole cinesi. Ovvero, un’azienda si era affidata a una seconda società, la quale si era affidata ulteriormente ad altre società per l’attività di newsletter allo scopo di attivare una campagna promozionale.
Uso illecito di banche dati per finalità di marketing: il caso in breve
La società committente aveva incaricato un’azienda che operava nel marketing allo scopo di inviare SMS promozionali a potenziali clienti. Questa seconda società si era poi avvalsa di altri fornitori che, a loro volta, avevano acquisito le banche dati da terzi – terzi che, in questo caso, erano fuori dall’UE – in una successione di passaggi sul modello delle scatole cinesi.
L’autorità Garante era intervenuta su richiesta di due reclamanti, che si lamentavano per la continua ricezione di messaggi indesiderati. Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere un riscontro soddisfacente su dove queste avessero acquisito i loro dati personali.
Dall’indagine è emerso che i dati delle persone contattate provenivano da liste non verificate – con evidenti profili di illiceità – costituite da soggetti esteri, con informazioni in parte derivanti da registrazione a portali informativi o da concorsi online.
La decisione del Garante e la sanzione
Vediamo ora la decisione del Garante italiano per la protezione dei dati:
- Innanzitutto, nel suo provvedimento, l’autorità ci dice che è assolutamente necessario verificare le liste dei contatti contenuti all’interno delle banche dati e che non devono essere utilizzati illecitamente i dati dei consumatori che non desiderano essere disturbati.
- Il Garante privacy poi, nella sua decisione, prevede una sanzione, che è diversa per tutte le società coinvolte:
1) 400.000 euro è l’ammontare della sanzione comminata alla società che ha commissionato la campagna promozionale – cioè il titolare del trattamento – per non aver verificato che l’azienda incaricata eseguisse correttamente le istruzioni previste nel contratto.
2) 200.000 euro è la sanzione in capo alla seconda società, in quanto fornitore di servizio, per l’uso di dati provenienti da fonti che non rispettano i requisiti minimi di legittimità.
3) 90.000 euro alle società list provider, cioè le aziende che detenevano le liste di contatti, raccolte senza il consenso da parte degli utenti. In questo caso la sanzione di 90.000 euro è stata comminata per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di una sanzione precedente.
Cosa succede se la campagna di marketing è realizzata con dati raccolti illecitamente?
Se l’azienda attiva una campagna marketing utilizzando dati raccolti illecitamente, rischia una sanzione in conformità a quanto previsto dall’articolo 83 del GDPR, che può arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale.
Come abbiamo visto, la sanzione non viene comminata solo verso il titolare del trattamento dei dati personali – cioè chi commissiona la campagna di marketing e che è tenuto a vigilare sull’operato della società a cui viene affidata -, ma tocca anche il fornitore del servizio, qualificato come responsabile del trattamento. Infatti, il fornitore è responsabile perché ha messo a disposizione la propria piattaforma per l’invio di messaggi di marketing.
Dunque, ricordiamo, da un lato, ai titolari del trattamento che è sempre indispensabile verificare i fornitori e assicurarsi che operino in conformità col GDPR, e dall’altro, ricordiamo ai responsabili esterni che la sanzione non è solo in capo al titolare…
Vuoi utilizzare delle banche dati per le tue attività di marketing? Un consiglio da consulente
Prima di tutto occorre formalizzare. Capita spesso infatti che le aziende si affidino ad agenzie di comunicazione o web per l’attività di newsletter e nella maggior parte dei casi, ancora oggi, non viene stipulato alcun contratto che comprenda un accordo relativo alla protezione dei dati personali.
Quindi, prima di tutto, è importante che il titolare del trattamento stipuli un accordo di protezione dati ed eventualmente decida anche di manlevarsi.
Secondo, il titolare è tenuto a verificare che le istruzioni date sia nel contratto che verbalmente vengano eseguite.
Da consulente, ricordo che è sempre importante che queste attività di marketing siano gestite contrattualmente. I rapporti contrattuali devono essere ben chiari e ben definiti, stabilendo chi fa cosa, quali sono le istruzioni, quali le misure di sicurezza e consiglio anche di farsi certificare che quei dati sono stati ottenuti con il consenso di tutti gli utenti. O comunque di chiedere evidenza del consenso associato al dato, in questo caso all’indirizzo e-mail.
Nel corso della mia attività, mi è capitato molte volte di dover negare l’utilizzo di banche dati che erano state raccolte o prima dell’entrata in vigore del GDPR o trasferite nel circuito europeo tra varie filiali di cui non si conosceva l’origine della raccolta.
Inoltre, ricordo che, nel concreto, quasi sempre i fornitori di mailing list chiedono di manlevarsi sulla lista dei contatti, chiedendo se questi sono stati raccolti in modo lecito. È quindi importante capire qual è l’origine della banca dati, soprattutto quando questi dati sono riferiti a delle persone fisiche e non a delle persone giuridiche.
Come abbiamo visto nel caso presentato in questo articolo, il Garante ha ritenuto sanzionabile il fornitore per il mancato rispetto delle istruzioni del titolare del trattamento, per non aver verificato la qualità dei dati trattati nell’ambito della campagna di marketing (che nel caso di specie erano stati dati al titolare da altre due società, una svizzera e l’altra statunitense, dunque extra-UE, proprietarie delle banche contenenti i dati di contatto dei potenziali destinatari della campagna di marketing).
Dunque, il titolare può essere sanzionato nel momento in cui si affida a un fornitore di servizi che non controlla la qualità dei dati che gli sono stati consegnati per l’attività di newsletter.