Con provvedimento n. 330 dello scorso 04.06 il Garante per la protezione dei dati personali si è nuovamente espresso in tema di trattamento dei dati personali finalizzato allo svolgimento di attività di marketing.

Il provvedimento trae origine dal reclamo presentato da un cliente di una società di rivendita di auto online, che ha lamentato la ricezione di numerose e-mail indesiderate e il mancato riscontro alle richieste di esercizio dei diritti avanzate ai sensi del Regolamento UE 2016/679 (di seguito “GDPR”).

Nello specifico, il cliente si è trovato ad essere destinatario di svariate comunicazioni di posta elettronica inviate da indirizzi sempre differenti e facenti capo a partner promozionali della società di rivendita, di cui il cliente non conoscenza l’esistenza e a cui non aveva manifestato il proprio consenso al trattamento dei dati personali. Al riguardo, si rammenta che il consenso è la condizione di liceità necessaria affinché il trattamento dei dati personali per finalità di marketing possa essere attuato.

All’esito dell’istruttoria svolta, il Garante per la protezione dei dati personali ha evidenziato che la società di rivendita di auto online non aveva:

  • correttamente disciplinato i rapporti privacy con i partner promozionali, che avrebbero dovuto essere nominati responsabili del trattamento ai sensi dell’art. 28 del GDPR. Ciò, in considerazione del fatto che le comunicazioni inoltrate al cliente avevano lo scopo di promuovere i prodotti della società di rivendita e non dei partner;
  • realizzato alcuna attività di verifica dei partner promozionali nel corso della loro fase di selezione e di quella successiva di svolgimento delle attività contrattualmente pattuite, che avrebbero consentito di evitare il compimento di condotte contrarie al GDPR. Stante l’assenza delle predette verifiche, la società di rivendita non ha, ad esempio, potuto appurare che le modalità di documentazione del consenso del cliente attuate dai partner non fossero adeguate e rispettose dei principi sanciti dal GDPR. Al riguardo, infatti, il Garante ha ritento che la documentazione fornita dai partner e a sua volta dalla società di rivendita – attestante i log dell’iscrizione e contenente l’indirizzo IP con data e ora di acquisizione – non potesse considerarsi sufficiente a dimostrare l’effettiva volontà del cliente, in quando descrittiva e priva di specifiche rispetto al fatto che la registrazione potesse riguardare la mera iscrizione al servizio o il consenso del cliente. Il Garante ha, poi, proseguito sostenendo che tale prova, invece, sarebbe stata possibile nel caso in cui fosse stata inviata una e-mail di conferma all’indirizzo registrato (cd. double opt-in), rappresentando questa una misura minima di protezione per l’interessato e per lo stesso titolare chiamato a comprovare la liceità del trattamento;
  • dimostrato l’assenso del cliente alla comunicazione dei suoi dati personali a terzi;
  • riscontrato le richieste di esercizio dei diritti avanzate dal cliente, a causa dell’errata qualificazione dei ruoli che ha, di fatto, vanificato l’opposizione manifestata dal cliente stesso. Infatti, l’inserimento in black list effettuato dalla società di rivendita non ha sortito alcun effetto sui partner, che hanno continuato ad inviare le comunicazioni promozionali, in virtù di un consenso asseritamente acquisito in maniera autonoma.

Numerosi, quindi, gli illeciti accertati dal Garante per la protezione dei dati personali, che lo hanno portato ad emettere una sanzione pecuniaria dell’importo di € 45.000,00 nei confronti della società di rivendita online.

Nelle ultime settimane il provvedimento è stato oggetto di molti commenti e di alcune interpretazioni non del tutto corrette. Infatti, sebbene il Garante per la protezione dei dati personali abbia espressamente sostenuto che la documentazione del consenso in modalità double opt-in possa essere considerata una “misura minima di protezione per l’interessato, ma anche per lo stesso titolare, tenuto a comprovare la liceità del trattamento”, questa non deve assolutamente essere considerata una misura univoca, diventando l’unica regola applicabile.

Nel rispetto del principio di accountability spetta al titolare del trattamento, quindi, valutare il singolo caso concreto e adottare conseguentemente quelle soluzioni in grado di garantire il rispetto dei principi in materia di protezione dei dati personali. Tornando al caso in esame, la società di rivendita avrebbe dovuto certamente implementare misure atte ad assicurare l’immodificabilità informatica dei file di log, la chiara origine dei consensi manifestati dall’interessato ed ulteriori garanzie, che invece sono evidentemente mancate.