Il reclamo dell’interessato

Mediante reclamo, un interessato segnalava all’Autorità la ricezione di messaggi promozionali, inerenti ai prodotti offerti del Titolare del trattamento, senza che lo stesso avesse acconsentito al trattamento dei propri dati di contatto per tale finalità.

L’ufficio del Garante formulava quindi una richiesta di informazioni nei confronti della società, la quale, in risposta, dichiarava la propria estraneità alla condotta lamentata, rinviando ad una terza organizzazione a cui aveva affidato l’attività di marketing. Quest’ultima asseriva, a sua volta, di non aver utilizzato direttamente tale dato per l’invio della comunicazione promozionale, ma di essersi avvalsa di collaboratori esterni. Tali collaboratori, interpellati dall’Autorità, dichiaravano di aver agito in forza di un consenso “al trattamento ed alla cessione dei dati personali finalizzati all’invio di comunicazioni commerciali” acquisito il 7 aprile 2018 in occasione della registrazione ad un sito internet gestito da un’altra società avente sede a Londra.

I controlli tramite http://wayback.archive.org

Le evidenze informatiche prodotte dal reclamante hanno consentito all’Autorità di visualizzare il sito al

momento dell’asserita acquisizione del consenso nel 2018, mediante il ricorso al portale archive.org (http://wayback.archive.org) che conserva le istantanee (snapshot) delle home page dei siti internet e della relativa strutturazione, anche in epoca risalente.

L’Internet Archive, database alla base del funzionamento del servizio Wayback, è una biblioteca digitale no-profit, creata nel 1996 per raccogliere la conoscenza in formato digitale e renderla disponibile gratuitamente a tutti nel mondo. Come una biblioteca cartacea, scopo del servizio è quello di fornire l’accesso a ricercatori, storici, studiosi, persone con disabilità di stampa e al pubblico in generale, a tutta la conoscenza storica del web. Oggi l’archivio Wayback contiene 26 anni di storia di internet, racchiusi in 735 miliardi di pagine web.

Nel corso degli accertamenti, questo strumento ha permesso al Garante di appurare diverse criticità in ordine alla dimostrazione di come sia stato acquisito il consenso dell’interessato. Peraltro, il sito indicato come fonte di acquisizione dei dati, nel 2018 era una mera vetrina di un soggetto terzo, senza alcuna informativa, né form di acquisizione dei dati e neppure richieste di consenso da selezionare per le distinte finalità promozionali e per la cessione dei dati a terzi per scopi pubblicitari.

La “complessa filiera del trattamento” e la qualificazione dei ruoli

In relazione a quanto rilevato, l’Autorità evidenziava quindi, in primo luogo, l’incapacità di del Titolare del trattamento di controllare efficacemente la filiera dei propri partner, in violazione del principio generale di accountability (responsabilizzazione). In particolare, tutti i soggetti interpellati e coinvolti nel trattamento, hanno qualificato come marginale il proprio ruolo rivestito nell’attività promozionale.

Rispetto alla qualificazione dei ruoli, la “complessa filiera del trattamento” ha costretto il Garante a richiamare la definizione di “titolare” che, indipendentemente dalla qualificazione contrattuale dei ruoli, è il soggetto che determina le finalità e i mezzi, cioè le modalità, del trattamento. Nel contesto delle attività di marketing, deve ritenersi titolare del trattamento il committente della campagna promozionale, indipendentemente dalla materiale raccolta dei dati. Nel caso in esame: il Titolare del trattamento, società che ha stabilito il fine per cui è stato posto in essere il trattamento (la veicolazione di messaggi promozionali), affidando a terzi l’incarico di realizzare la campagna pubblicitaria.

I punti di non conformità

Il Provvedimento del Garante è interessante anche perché illustra diversi profili di non conformità:

• Il primo punto di non conformità, come anticipato, riguarda l’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale per conto del titolare del trattamento à necessario che l’organizzazione gestisca correttamente ruoli e responsabilità, mediante apposite nomine nei confronti dei responsabili nominati, presidiando al contempo l’attività svolta dai sub-responsabili;
• Secondo il Garante, inoltre, il Titolare del trattamento non ha prodotto riscontri sui criteri adottati per la selezione del partner che avrebbe agito nel suo interesse à necessario che ogni organizzazione, al momento dell’affidamento di trattamenti a terze parti, effettui una valutazione della compliance del fornitore (mediante audit preliminari o checklist di verifica);
• il Titolare del trattamento non ha prodotto riscontri sulle istruzioni che sarebbero state impartite per la realizzazione della campagna promozionale nel rispetto della vigente normativa à necessario tenere traccia, in accountability, di tutte le istruzioni fornite al responsabile nominato;
• il Titolare del trattamento non ha fornito informazioni ed esibito documenti dai quali poter ricavare elementi sull’esistenza di accordi o direttive che consentissero di ricostruire il contesto giuridico nel quale si è realizzato il trattamento e di qualificare, in concreto, ruoli e responsabilità della società e dell’intera filiera à il criterio di accountability impone al titolare di garantire, e di essere in grado di dimostrare, che tutti i trattamenti siano effettuati conformemente al GDPR. Ciò comporta anche la necessità di formalizzare i rapporti con terze parti;
• Un’altra non conformità rilevata dal Garante riguarda la raccolta del consenso. Il trattamento condotto dal Titolare del trattamento per mezzo dei vari partner, ha dato luogo all’invio di messaggi promozionali senza il consenso informato dell’interessato à qualora il trattamento si basi sul consenso, lo stesso deve avere le caratteristiche di cui agli articoli 4 (11) e 7 del GDPR, ovvero deve consistere in una manifestazione di volontà libera, specifica, informata e inequivocabile. Ciò significa, in particolare, che il titolare deve informare adeguatamente ed in modo trasparente gli interessati prima della raccolta dei dati e preliminarmente all’acquisizione del consenso al trattamento. 
• La Società non ha prodotto riscontri probatori atti a documentare l’acquisizione del consenso. Non emerge, inoltre, che abbia richiesto al partner (né, conseguentemente, esaminato) la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento à qualora il trattamento si basi sul consenso, è necessario che il titolare sia in grado di fornire prova della relativa acquisizione. Dall’articolo 7 del GDPR deriva che l’onere della prova è a carico del titolare del trattamento. Secondo il Comitato Europeo per la Protezione dei Dati (EDPB), “Il titolare del trattamento è libero di sviluppare metodi propri per rispettare tale disposizione in maniera adatta alle sue attività quotidiane”. Ad esempio, in un contesto online, il titolare del trattamento può conservare informazioni sulla sessione in cui è stato espresso il consenso, unitamente alla documentazione della procedura di consenso al momento della sessione, oltre a una copia delle informazioni presentate all’interessato in quel momento. 
• La scelta di un soggetto non residente nel territorio italiano, o perlomeno nel territorio dell’Unione Europea, non garantisce agli interessati la facoltà di far valere i propri diritti e, allo stesso tempo, ostacola le attività di indagine del Garante à è opportuno dare la preferenza a responsabili ubicati all’interno dello Spazio Economico Europeo. Qualora il responsabile tratti dati al di fuori del SEE, è necessario che il titolare verifichi in quale Paese e se, lo stesso, è considerato adeguato dalla Commissione Europea. In caso contrario, si renderà necessario ricorrere ad altre garanzie adeguate, per consentire un trasferimento sicuro e la tutela dei diritti e delle libertà degli interessati.
• la Società ha evaso la richiesta avanzata dal reclamante solo dopo essere stata in tal senso sollecitata dall’Autorità e senza fornire spiegazioni in ordine alla mancata risposta à è necessario dotarsi di “misure appropriate” che consentano la gestione delle istanze privacy entro i termini previsti dal Regolamento e, comunque, il prima possibile. Il titolare deve agevolare l’esercizio dei diritti e fornire sempre un riscontro, anche qualora non sia possibile dar seguito all’istanza. Tale riscontro, alla stregua delle informazioni fornite all’interessato ai sensi degli articoli 13 e 14, deve esse formulato in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
• Dal complessivo esame degli atti, emerge come il Titolare del trattamento non abbia prodotto, in un’ottica collaborativa e proattiva, risposte adeguate e trasparenti circa gli elementi richiesti, tali cioè da far comprendere meglio la dinamica fattuale e la propria politica di trattamento, replicando con formule generiche e standardizzate e impedendo una valutazione più approfondita dei trattamenti da parte della Autorità à Il titolare dovrebbe giustificare ogni scelta, fornendo risposte complete ed esaustive e manifestando la massima collaborazione, di fronte a richieste di chiarimenti formulate direttamente dall’Autorità. “Il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi” è uno dei fattori che partecipano alla commisurazione della sanzione amministrativa pecuniaria.
• La Società si è limitata a dichiararsi estranea alla condotta lamentata, senza tuttavia dare evidenza delle azioni intraprese. Il carattere negligente, da ritenersi gravemente colposo, della condotta con cui la Società non ha fornito le informazioni richieste, fa emergere una grave falla negli obblighi di trasparenza del Titolare del trattamento à Il titolare dovrebbe agire nel rispetto del principio generale, più volte richiamato dall’Autorità, di responsabilizzazione. Ciò significa anche essere in grado di fornire informazioni chiare e trasparenti rispetto all’attività di trattamento svolta.

Anomalie a carattere sistemico e conseguenze

Nel caso in esame, l’Autorità ha rilevato come la condotta contestata dal reclamante si estenda alla gestione di tutti gli indirizzi e-mail destinatari dell’attività promozionale. Ne costituisce riprova il numero di reclami e segnalazioni pervenuti dopo la notifica dell’atto di contestazione. Il Garante ha quindi potuto constatare come le criticità segnalate non siano attribuibili “tanto a situazioni episodiche ma ad anomalie a carattere sistematico”.

Questo elemento, in aggiunta ai punti di non conformità sopra indicati, contribuisce ad evidenziare “un quadro di scarso controllo” da parte del Titolare del trattamento, rispetto ai trattamenti finalizzati alla realizzazione della campagna promozionale. Ne deriva, di conseguenza, l’incapacità del titolare di ottemperare all’obbligo di comprovare il rispetto delle norme, anche nell’ottica di privacy by design. In conclusione, il Garante ha quindi rilevato la violazione dei principi fondamentali del Regolamento europeo, “da considerarsi quale condotta sistematica e non limitata al singolo caso di cui al reclamo”. Peraltro, il Titolare del trattamento ha violato anche l’articolo 6, par. 1, lett. a) del GDPR e l’art. 130 del Codice, rispetto alla mancata raccolta del consenso all’attività promozionale.

L’Autorità ha quindi imposto al Titolare del trattamento il divieto di trattamento e l’applicazione di una sanzione amministrativa pecuniaria di euro 20.000,00 (ventimila/00), pari allo 0,1% del massimo edittale di 20 milioni di euro, considerando quali elementi attenuanti:

1. la natura dei dati trattati, di tipo comune;
2. l’assenza di precedenti procedimenti avviati a carico della Società.

L’attività di marketing è spesso oggetto di accertamenti da parte dell’Autorità Garante, sia sulla base del periodico piano ispettivo, sia, come nel caso esaminato, sulla base di reclami e segnalazioni dei diretti interessati. Se sei interessato a prevenire, ti consigliamo quindi di rivolgerti al nostro team di consulenti, che ti aiuteranno a trovare soluzioni di marketing efficaci e conformi alle normative privacy.