Il Garante per la protezione dei dati personali ha recentemente sanzionato una società che offre servizi di digital marketing per aver trattato in modo illecito dati personali a fini di marketing: la multa irrogata ammonta a 300mila euro.

La digital company veicolava agli utenti presenti nel proprio database i messaggi ricevuti dalle società sue clienti per effettuare campagne promozionali via sms, e-mail e attraverso chiamate automatizzate. Il database era costituito da dati raccolti direttamente dalla società attraverso i propri portali online e da informazioni personali acquistate da broker di dati.

Gli accertamenti sono stati effettuati a seguito di reclami e segnalazioni al Garante presentati da alcuni interessati.

Si riassumono di seguito alcune delle principali violazioni contestate, con i relativi rilievi dell’Autorità.

  1. Utilizzo di “modelli oscuri” (dark pattern) per aggirare la volontà dell’interessato

Il Garante ha rilevato l’utilizzo, in alcuni dei portali di proprietà della società, di cosiddetti “modelli oscuri” (dark pattern) che, attraverso interfacce grafiche opportunamente realizzate e altre modalità potenzialmente ingannevoli, invogliano l’utente a prestare il consenso al trattamento dei dati per finalità di marketing e alla comunicazione dei dati a terzi sempre per la stessa finalità.

Come rilevato dall’Autorità, detti modelli comunicativi, non chiari con particolare riguardo alla progettazione grafica delle interfacce e alle modalità di svolgimento del processo di iscrizione ai servizi, aumentano le probabilità che l’interessato rilasci il proprio consenso non per scelta consapevole ma perché indotto in errore.

Nel caso della società in questione, nel corso del processo di iscrizione veniva chiesto all’interessato di esprimere uno specifico consenso in merito al trattamento per finalità di marketing e alla comunicazione dei dati a terzi. Se una delle caselle non veniva selezionata, compariva un pop up che evidenziava la mancanza del consenso, con un tasto ben evidente per accettare il trattamento. Il link per “continuare senza accettare” era, invece, posto in basso, fuori dal pop up, senza il formato grafico di pulsante, ma in un testo semplice, scritto peraltro con un carattere di dimensioni inferiori al resto del testo e poco visibile.

Un’impostazione analoga è stata riscontrata anche nella schermata grafica che si presentava all’utente per invitarlo a fornire i dati di altri soggetti potenzialmente interessati ad iscriversi ai servizi: a fronte di messaggi di invito scritti in grassetto e con campi asteriscati (anche se di fatto facoltativi) l’opzione “.. oppure salta” – che dovrebbe essere alternativa al tasto “continua” – era riportata in fondo alla pagina in carattere molto più piccolo e con una grafica del tutto diversa rispetto all’opzione “continua”.

Un consenso raccolto con tali modalità, progettate a detta del Garante per eludere le norme, desta molte perplessità in ordine alla libertà e alla consapevolezza con cui l’interessato può esprimere la propria volontà e pertanto non può considerarsi lecito.

2. Raccolta di dati eccedenti

L’Autorità ha contestato una violazione del principio di minimizzazione dei dati vista la raccolta, da parte della società, di informazioni non attinenti al servizio offerto e non necessarie per l’erogazione dello stesso.

Veniva, infatti, chiesto agli interessati di comunicare numerosi dati personali e di fornire risposte a numerosissime domande – tutte obbligatorie – relative alla capacità e alle abitudini di acquisto, al nucleo familiare, all’attività lavorativa svolta, al reddito annuo ecc.

Una raccolta di dati, così configurata, è stata altresì ritenuta contraria ai principi di liceità, correttezza e trasparenza, obbligando l’interessato a conferire molte informazioni non pertinenti al servizio.

Dette informazioni, inoltre – come rilevato dal Garante – erano volte a tratteggiare un profilo dell’iscritto. Benché detto trattamento potesse rientrare nella finalità “analisi e definizione di profili e preferenze per finalità di marketing” indicata nell’informativa privacy pubblicata, non era prevista la raccolta di uno specifico consenso.

3. Raccolta di dati di soggetti referenziati

La società chiedeva all’interessato, attraverso una schermata presente nei siti internet, di fornire nome e indirizzo e-mail di altri soggetti potenzialmente interessati ai servizi offerti.

Sul punto il Garante ha rilevato che il soggetto referenziante non è (di regola) legittimato a prestare un valido consenso per conto dell’interessato destinatario del contatto promozionale.  Rimane, infatti, anche in questo caso l’obbligo di acquisire preventivamente un consenso specifico, documentato e inequivocabile dell’interessato.

I dati di soggetti terzi eventualmente conferiti dall’utente non si sarebbero, quindi, potuti considerare assistiti da un idoneo consenso per futuri contatti promozionali né giustificati da una valida base giuridica. L’utilizzo di detti dati per l’invio di messaggi promozionali senza un’idonea informativa e senza l’acquisizione di uno specifico consenso era, quindi, da considerarsi illecito.

4. Qualificazione del ruolo nel trattamento

Il Garante non ha condiviso la qualifica di responsabile del trattamento assunta dalla società nei casi di “gestione di database” per conto terzi.

La banca dati della società era alimentata da diverse fonti: fonti dirette, come i portali di proprietà della società stessa e banche dati acquisite da terzi.

I dati provenienti dai database cosiddetti “in gestione” entravano a far parte del database che la società utilizzava per realizzare le campagne promozionali al pari di un database acquisito con contratto di acquisto o noleggio (la società, infatti, prima dell’acquisizione di tali dati dai partner, li raffrontava con i dati già in suo possesso, scartando questi ultimi dal computo della remunerazione dovuta al soggetto che affidava il database).

Il Garante ha ritenuto irrilevante la fonte di provenienza dei dati, così come la causa del contratto sottoscritto con il terzo (acquisto, noleggio, gestione/sfruttamento del database), sul presupposto che (i) il trattamento consisteva sempre nella raccolta di dati personali e che (ii) era la società a stabilire la finalità di detto trattamento: lo sfruttamento commerciale della banca dati per l’invio di messaggi promozionali.

La società, avrebbe, pertanto, dovuto qualificarsi come titolare autonomo. Qualificandosi, al contrario, come responsabile del trattamento, la società non ha registrato le revoche del consenso o le richieste di opposizione provenienti dai soggetti i cui dati erano stati acquisiti dai database in gestione, con il risultato che risultavano essere stati inviati messaggi promozionali a soggetti che si erano opposti direttamente alla società.

L’erronea qualificazione ha dunque determinato un trattamento in contrasto con i requisiti di liceità, correttezza e trasparenza e non ha garantito agli interessati l’esercizio del diritto di cancellazione e di opposizione.

Il Garante, tenendo conto delle misure correttive adottate, ha ammonito la società vietando alcuni trattamenti e ordinando il pagamento della predetta sanzione.

Entro il termine stabilito, la società ha definito la controversia pagando un importo pari alla metà della sanzione comminata.

Qui il testo del provvedimento in commento.