{"id":18053,"date":"2023-05-03T12:15:24","date_gmt":"2023-05-03T10:15:24","guid":{"rendered":"https:\/\/www.albeeassociati.it\/?p=18053"},"modified":"2024-11-12T09:37:47","modified_gmt":"2024-11-12T08:37:47","slug":"trattamento-di-dati-per-finalita-di-marketing-ancora-sanzioni-da-parte-del-garante","status":"publish","type":"post","link":"https:\/\/www.albeeassociati.it\/en\/trattamento-di-dati-per-finalita-di-marketing-ancora-sanzioni-da-parte-del-garante\/","title":{"rendered":"Trattamento di dati per finalit\u00e0 di marketing: ancora sanzioni da parte del Garante"},"content":{"rendered":"\n

Il Garante per la protezione dei dati personali ha recentemente sanzionato una societ\u00e0 che offre servizi di digital marketing<\/em> per aver trattato in modo illecito dati personali a fini di marketing<\/em>: la multa irrogata ammonta a 300mila euro.<\/p>\n\n\n\n

La digital company<\/em> veicolava agli utenti presenti nel proprio database i messaggi ricevuti dalle societ\u00e0 sue clienti per effettuare campagne promozionali via sms, e-mail e attraverso chiamate automatizzate. Il database era costituito da dati raccolti direttamente dalla societ\u00e0 attraverso i propri portali online e da informazioni personali acquistate da broker<\/em> di dati.<\/p>\n\n\n\n

Gli accertamenti sono stati effettuati a seguito di reclami e segnalazioni al Garante presentati da alcuni interessati.<\/p>\n\n\n\n

Si riassumono di seguito alcune delle principali violazioni contestate, con i relativi rilievi dell\u2019Autorit\u00e0.<\/p>\n\n\n\n

  1. Utilizzo di \u201cmodelli oscuri\u201d (dark pattern) per aggirare la volont\u00e0 dell\u2019interessato<\/strong><\/li><\/ol>\n\n\n\n

    Il Garante ha rilevato l\u2019utilizzo, in alcuni dei portali di propriet\u00e0 della societ\u00e0, di cosiddetti \u201cmodelli oscuri\u201d (dark pattern) che, attraverso interfacce grafiche opportunamente realizzate e altre modalit\u00e0 potenzialmente ingannevoli, invogliano l\u2019utente a prestare il consenso al trattamento dei dati per finalit\u00e0 di marketing e alla comunicazione dei dati a terzi sempre per la stessa finalit\u00e0.<\/p>\n\n\n\n

    Come rilevato dall\u2019Autorit\u00e0, detti modelli comunicativi, non chiari con particolare riguardo alla progettazione grafica delle interfacce e alle modalit\u00e0 di svolgimento del processo di iscrizione ai servizi, aumentano le probabilit\u00e0 che l\u2019interessato rilasci il proprio consenso non per scelta consapevole ma perch\u00e9 indotto in errore.<\/p>\n\n\n\n

    Nel caso della societ\u00e0 in questione, nel corso del processo di iscrizione veniva chiesto all\u2019interessato di esprimere uno specifico consenso in merito al trattamento per finalit\u00e0 di marketing e alla comunicazione dei dati a terzi. Se una delle caselle non veniva selezionata, compariva un pop up<\/em> che evidenziava la mancanza del consenso, con un tasto ben evidente per accettare il trattamento. Il link <\/em>per \u201ccontinuare senza accettare\u201d era, invece, posto in basso, fuori dal pop up<\/em>, senza il formato grafico di pulsante, ma in un testo semplice, scritto peraltro con un carattere di dimensioni inferiori al resto del testo e poco visibile.<\/p>\n\n\n\n

    Un\u2019impostazione analoga \u00e8 stata riscontrata anche nella schermata grafica che si presentava all\u2019utente per invitarlo a fornire i dati di altri soggetti potenzialmente interessati ad iscriversi ai servizi: a fronte di messaggi di invito scritti in grassetto e con campi asteriscati (anche se di fatto facoltativi) l\u2019opzione \u201c.. oppure salta\u201d \u2013 che dovrebbe essere alternativa al tasto \u201ccontinua\u201d \u2013 era riportata in fondo alla pagina in carattere molto pi\u00f9 piccolo e con una grafica del tutto diversa rispetto all\u2019opzione \u201ccontinua\u201d.<\/p>\n\n\n\n

    Un consenso raccolto con tali modalit\u00e0, progettate a detta del Garante per eludere le norme, desta molte perplessit\u00e0 in ordine alla libert\u00e0 e alla consapevolezza con cui l\u2019interessato pu\u00f2 esprimere la propria volont\u00e0 e pertanto non pu\u00f2 considerarsi lecito.<\/p>\n\n\n\n

    2. Raccolta di dati eccedenti<\/strong><\/p>\n\n\n\n

    L\u2019Autorit\u00e0 ha contestato una violazione del principio di minimizzazione dei dati vista la raccolta, da parte della societ\u00e0, di informazioni non attinenti al servizio offerto e non necessarie per l\u2019erogazione dello stesso.<\/p>\n\n\n\n

    Veniva, infatti, chiesto agli interessati di comunicare numerosi dati personali e di fornire risposte a numerosissime domande \u2013 tutte obbligatorie \u2013 relative alla capacit\u00e0 e alle abitudini di acquisto, al nucleo familiare, all\u2019attivit\u00e0 lavorativa svolta, al reddito annuo ecc.<\/p>\n\n\n\n

    Una raccolta di dati, cos\u00ec configurata, \u00e8 stata altres\u00ec ritenuta contraria ai principi di liceit\u00e0, correttezza e trasparenza, obbligando l\u2019interessato a conferire molte informazioni non pertinenti al servizio.<\/p>\n\n\n\n

    Dette informazioni, inoltre \u2013 come rilevato dal Garante \u2013 erano volte a tratteggiare un profilo dell\u2019iscritto. Bench\u00e9 detto trattamento potesse rientrare nella finalit\u00e0 \u201canalisi e definizione di profili e preferenze per finalit\u00e0 di marketing\u201d indicata nell\u2019informativa privacy pubblicata, non era prevista la raccolta di uno specifico consenso.<\/p>\n\n\n\n

    3. Raccolta di dati di soggetti referenziati<\/strong><\/p>\n\n\n\n

    La societ\u00e0 chiedeva all\u2019interessato, attraverso una schermata presente nei siti internet, di fornire nome e indirizzo e-mail di altri soggetti potenzialmente interessati ai servizi offerti.<\/p>\n\n\n\n

    Sul punto il Garante ha rilevato che il soggetto referenziante non \u00e8 (di regola) legittimato a prestare un valido consenso per conto dell\u2019interessato destinatario del contatto promozionale.  Rimane, infatti, anche in questo caso l\u2019obbligo di acquisire preventivamente un consenso specifico, documentato e inequivocabile dell\u2019interessato.<\/p>\n\n\n\n

    I dati di soggetti terzi eventualmente conferiti dall\u2019utente non si sarebbero, quindi, potuti considerare assistiti da un idoneo consenso per futuri contatti promozionali n\u00e9 giustificati da una valida base giuridica. L\u2019utilizzo di detti dati per l\u2019invio di messaggi promozionali senza un\u2019idonea informativa e senza l\u2019acquisizione di uno specifico consenso era, quindi, da considerarsi illecito.<\/p>\n\n\n\n

    4. Qualificazione del ruolo nel trattamento<\/strong><\/p>\n\n\n\n

    Il Garante non ha condiviso la qualifica di responsabile del trattamento assunta dalla societ\u00e0 nei casi di \u201cgestione di database\u201d per conto terzi.<\/p>\n\n\n\n

    La banca dati della societ\u00e0 era alimentata da diverse fonti: fonti dirette, come i portali di propriet\u00e0 della societ\u00e0 stessa e banche dati acquisite da terzi.<\/p>\n\n\n\n

    I dati provenienti dai database<\/em> cosiddetti \u201cin gestione\u201d entravano a far parte del database<\/em> che la societ\u00e0 utilizzava per realizzare le campagne promozionali al pari di un database<\/em> acquisito con contratto di acquisto o noleggio (la societ\u00e0, infatti, prima dell\u2019acquisizione di tali dati dai partner<\/em>, li raffrontava con i dati gi\u00e0 in suo possesso, scartando questi ultimi dal computo della remunerazione dovuta al soggetto che affidava il database<\/em>).<\/p>\n\n\n\n

    Il Garante ha ritenuto irrilevante la fonte di provenienza dei dati, cos\u00ec come la causa del contratto sottoscritto con il terzo (acquisto, noleggio, gestione\/sfruttamento del database), sul presupposto che (i) il trattamento consisteva sempre nella raccolta di dati personali e che (ii) era la societ\u00e0 a stabilire la finalit\u00e0 di detto trattamento: lo sfruttamento commerciale della banca dati per l\u2019invio di messaggi promozionali.<\/p>\n\n\n\n

    La societ\u00e0, avrebbe, pertanto, dovuto qualificarsi come titolare autonomo. Qualificandosi, al contrario, come responsabile del trattamento, la societ\u00e0 non ha registrato le revoche del consenso o le richieste di opposizione provenienti dai soggetti i cui dati erano stati acquisiti dai database<\/em> in gestione, con il risultato che risultavano essere stati inviati messaggi promozionali a soggetti che si erano opposti direttamente alla societ\u00e0.<\/p>\n\n\n\n

    L\u2019erronea qualificazione ha dunque determinato un trattamento in contrasto con i requisiti di liceit\u00e0, correttezza e trasparenza e non ha garantito agli interessati l\u2019esercizio del diritto di cancellazione e di opposizione.<\/p>\n\n\n\n

    Il Garante, tenendo conto delle misure correttive adottate, ha ammonito la societ\u00e0 vietando alcuni trattamenti e ordinando il pagamento della predetta sanzione.<\/p>\n\n\n\n

    Entro il termine stabilito, la societ\u00e0 ha definito la controversia pagando un importo pari alla met\u00e0 della sanzione comminata.<\/p>\n\n\n\n

    Qui<\/a> <\/strong>il testo del provvedimento in commento.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Il Garante per la protezione dei dati personali ha recentemente sanzionato una societ\u00e0 che offre servizi di digital marketing per aver trattato in modo illecito dati personali a fini di marketing: la multa irrogata ammonta a 300mila euro. La digital company veicolava agli utenti presenti nel proprio database i messaggi ricevuti dalle societ\u00e0 sue clienti […]<\/p>\n","protected":false},"author":3,"featured_media":18054,"comment_status":"closed","ping_status":"0","sticky":false,"template":"","format":"standard","meta":[],"categories":[34,11],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18053"}],"collection":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/comments?post=18053"}],"version-history":[{"count":5,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18053\/revisions"}],"predecessor-version":[{"id":18060,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18053\/revisions\/18060"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media\/18054"}],"wp:attachment":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media?parent=18053"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/categories?post=18053"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/tags?post=18053"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}