Il recente provvedimento sanzionatorio del Garante (doc. web n. 9737185) ci permette di chiarire diversi aspetti relativi al trattamento dei dati personali nell’ambito dell’attività di marketing delegata a terzi. Ci si riferisce ai ruoli di titolare e responsabile, all’utilizzo di fornitori aventi la sede al di fuori dell’Unione Europea e all’esercizio dei diritti dell’interessato.

L’oggetto dei reclami

L’istruttoria del Garante è stata avviata a seguito del ricevimento di due reclami per la continua ricezione di messaggi sms indesiderati. I reclamanti avevano anche lamentato l’impossibilità di esercitare a pieno i propri diritti di accesso ai dati e di opposizione al trattamento. Nel caso specifico, la società committente, titolare del marchio oggetto delle promozioni via sms, aveva incaricato un’azienda per l’invio di sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri fornitori che a loro volta avevano acquisito le banche dati da terzi.

I ruoli di titolare e responsabile del trattamento

Durante l’istruttoria è stato accertato che la società committente e la società affidataria della campagna promozionale non avevano regolato i rispettivi ruoli e responsabilità rispetto al trattamento dei dati personali. L’Autorità ha ricostruito i suddetti ruoli su base fattuale, esaminando congiuntamente le dichiarazioni delle parti e gli elementi documentali forniti nel corso del procedimento. Secondo le definizioni dell’art. 4 GDPR ed i chiarimenti delle Linee Guida n. 7 /2020 dell’EDPB, il titolare del trattamento è il soggetto che determina le finalità (il perchè) e i mezzi, cioè le modalità (il come), del trattamento mentre il responsabile è il soggetto che opera per conto del titolare, eseguendone le istruzioni. Alla luce di tali definizioni e dell’accertamento basato sul caso concreto il Garante ha ribadito, come già affermato in precedenza, che “il committente di una campagna promozionale, indipendentemente dalla materiale apprensione dei dati, deve ritenersi titolare del trattamento avendo in concreto determinato le decisioni in ordine alle finalità e modalità del trattamento stesso”. Il gestore della campagna è, invece, il responsabile del trattamento.

Il controllo sull’operato del responsabile

Con riferimento al procedimento in esame, il Garante ha considerato inadeguato il controllo effettuato dal titolare del trattamento sul gestore della campagna promozionale. Il titolare non può infatti solo “confidare” nelle garanzie contrattuali offerte dal responsabile riguardo alla liceità dei dati utilizzati ma deve porre in essere verifiche concrete quali, ad esempio, richiedere al fornitore di documentare la provenienza dei dati. Sul punto l’Autorità ha colto l’occasione per rimarcare che le attività di selezione e vigilanza, proprie di chi opera come titolare del trattamento, oltre a rappresentare per lo stesso un obbligo (come previsto dall’art. 28 GDPR) allo stesso tempo costituiscono un’importante occasione per verificare la corretta esecuzione di una commessa.

L’acquisizione del consenso da parte dei list provider

I proprietari delle banche dati fornite per la campagna hanno a loro volta agito quali titolari autonomi, dal momento che il trattamento da loro posto in essere (raccolta, conservazione e trasmissione a terzi dei dati) è precedente e del tutto indipendente dal trattamento effettuato dal committente. Le società list provider acquisiscono i dati utilizzando apposite piattaforme web, ad esempio mediante la partecipazione a concorsi o la registrazione a servizi on line. In tale occasione, richiedono uno specifico consenso per l’invio di messaggi promozionali e per la trasmissione dei dati a terzi. Nel caso di specie, con riguardo alla liceità dei consensi asseritamente espressi dagli interessati, il Garante ha ritenuto che i list provider non avessero fornito documentazione idonea a dimostrare la reale espressione del consenso da parte degli interessati alla ricezione di messaggi promozionali e al trasferimento a terzi. Sul punto l’Autorità ha rimarcato che, la documentazione del consenso tramite l’indicazione del solo indirizzo IP, è una modalità che è stata già ritenuta insufficiente a certificare la volontà inequivocabile degli interessati (cfr. il provvedimento del 26 ottobre 2017, doc. web n. 7320903) esistendo invece alternative più idonee a garantire un maggior grado di certezza (come la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione).

I fornitori collocati al di fuori dell’Unione Europea

Durante il procedimento è inoltre emerso che i list provider coinvolti erano società con sede all’estero (in Svizzera e in Florida). Il Garante ha verificato che non è stata fornita agli interessati alcuna indicazione in merito al rappresentante delle società nell’Unione Europea pur essendo tale requisito obbligatorio ai sensi dell’art. 27 GDPR. In tal senso nel provvedimento viene sottolineato che, la scelta di un soggetto non residente nel territorio italiano, o almeno nel territorio dell’UE, non garantisce agli interessati la facoltà di far valere i propri diritti e, allo stesso tempo, ostacola le attività di indagine del Garante. Secondo l’Autorità tali problematiche, già emerse in occasione di altre istruttorie tuttora in corso, hanno trovato conferma anche nel caso oggetto di reclamo.

Esercizio dei diritti

Il Garante ha infine accertato che gli interessati non erano stati messi in grado di esercitare i propri diritti, tra cui in particolare il diritto di opposizione. Il titolare del trattamento non aveva posto in essere idonee procedure, volte a tenere traccia dell’esercizio di tale diritto. È invece onere del titolare assicurare che la revoca del consenso o lo specifico diniego da parte di un interessato, non permetta più di indirizzargli attività promozionale per proprio conto (come invece è accaduto nel caso di specie).

La Sanzione

La società committente, per tutte le condotte sopra esposte, è stata sanzionata per 400.000 euro. Alla seconda società, in quanto fornitore del servizio di marketing, il Garante ha vietato l’uso di dati provenienti da fonti che non rispettino i requisiti minimi di legittimità e ha imposto una sanzione di 200.000 euro. Una terza società, coinvolta nell’istruttoria per acquisire informazioni, ha ricevuto una sanzione di 90.000,00 euro per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di precedente sanzione. Tutte le sanzioni sono state calcolate sulla base di vari parametri, tra il cui fatturato societario, il grado di collaborazione offerto e la gravità delle violazioni commesse.