Il list brokering a prova di GDPR - General Data Protection Regulation

Il 24 novembre del 2022, la CNIL (il Garante privacy francese) ha irrogato una sanzione amministrativa da 600.000 euro nei confronti della società EDF (società francese dell'energia elettrica) che non è stata in grado di dimostrare il rispetto degli obblighi imposti dalla normativa sulla protezione dei dati personali.

Le indagini dell'autorità di controllo erano iniziate in precedenza e a seguito di un gran numero di reclami ricevuti da utenti che cercavano di opporsi all’invio di e-mail promozionali da parte della società elettrica francese.

Questi interessati, in particolare, lamentavano non solo di non aver prestato alcun consenso ma addirittura di trovare difficoltà nell’esercizio dei propri diritti considerato che qualcuno di loro non ha ricevuto risposta alle richieste, e qualcun altro ha ricevuto, invece, informazioni errate sull’origine della raccolta dei loro dati personali.

In seguito all'apertura del procedimento, la CNIL ha scoperto che tra il 2020 e il 2021, EDF ha condotto una campagna di direct marketing a mezzo posta elettronica.

Ma quanto è importante avere il consenso dell'utente? Vediamolo

L'importanza del consenso

Nei casi in cui il trattamento dei dati sia basato sul consenso (come avviene appunto per le operazioni di marketing), il titolare del trattamento deve dimostrare che l'interessato abbia preventivamente prestato il consenso al trattamento dei dati personali che lo riguardano.

Per “consenso” dell'interessato si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l'interessato accetta, con un atto positivo esplicito, che i dati personali che lo riguardano possono essere trattati.

La società elettrica francese non è stata in grado di dimostrare alla CNIL di aver ottenuto questo previo consenso da parte delle persone fisiche a cui questi messaggi promozionali erano indirizzati.

Durante le indagini, la stessa ha fornito all'autorità di controllo solo due esempi di un modulo standard per la raccolta di dati di potenziali clienti fornito da un list broker (ovvero un fornitore di liste di contatto), ma non è stata in grado di fornire un elenco dei partner ai quali questi dati sarebbero stati inviati, anche se tale elenco deve essere messo a disposizione delle persone quando esprimono il loro consenso ai fini delle operazioni di marketing.

Inoltre l'EDF ha ammesso di non aver verificato i moduli di consenso utilizzati e di non aver effettuato alcuna verifica presso gli intermediari fornitori di liste di contatti sulla liceità della raccolta dei dati. Le indagini effettuate dalla CNIL hanno poi consentito di rilevare ulteriori violazioni:

• Violazione dell'obbligo di informazione degli interessati: l'informativa presente sul sito web della società non specificava la base giuridica del trattamento dei dati e non era chiara sul periodo di conservazione di questi. Inoltre, nella prima e-mail promozionale inviata da EDF agli interessati, l'origine dei dati non era indicata in modo sufficientemente preciso: si spiegava solo che i dati erano stati raccolti da un list broker, senza indicare con precisione da dove provenissero;

• Violazione degli obblighi relativi alle modalità di esercizio dei diritti (art. 12 GDPR): in particolare, la società non ha dato riscontro ad alcuni reclamanti nel termine previsto dal regolamento;

• Violazione dell'obbligo di rispettare il diritto di accesso e il diritto di opposizione dell'interessato. La società ha fornito informazioni inesatte sull'origine dei dati raccolti e non ha tenuto conto dell'opposizione alla ricezione di e-mail promozionali.

Da mail promozionali indesiderate, si è condotta un'istruttoria che ha portato all'irrogazione di seicentomila euro di sanzione. In un mondo in cui gli interessati sono sempre più informati dei loro diritti, ogni iniziativa di marketing deve passare preliminarmente un vaglio di fattibilità legale.

Cosa deve fare il titolare del trattamento?

In base al principio di accountability il titolare del trattamento deve essere in grado di dimostrare di aver rispettato e adempiuto tutte le prescrizioni del gdpr.

Vediamo insieme come fare.

1. Chi è il list broker

Il titolare del trattamento che voglia condurre una campagna di direct marketing, può attingere dati di contatto da diverse fonti. Esistono fornitori di liste di contatto (i list broker) che vendono o danno in licenza queste liste di contatti.

Un list broker, quindi, fornisce ai suoi committenti degli elenchi che contengono dati personali di potenziali clienti (come l'indirizzo e-mail) allo scopo di condurre campagne promozionali e pubblicizzare i prodotti o i servizi dei committenti stessi. Benché fornite da terzi, la responsabilità della liceità della raccolta di questi dati resta saldamente in capo al titolare del trattamento che sceglie di avvalersi di un list broker: stabilendo modalità e finalità del trattamento deve garantire che tutta l'operazione di marketing (compresa la raccolta dei contatti) sia rispettosa del gdpr.

A questo scopo il titolare del trattamento non potrà basare la propria conformità alla normativa sulla protezione dei dati solo sulle affermazioni del fornitore ma dovrà accertarsi che la raccolta dei dati sia avvenuta in modo lecito.

Più avanti vedremo come.

2. Cosa non fare: il caso italiano di occhiali24.it

Il 20 ottobre scorso, il Garante per la protezione dei dati personali ha emesso il provvedimento n. 349, con il quale ha inflitto a Occhiali24.it s.r.l. una sanzione amministrativa pecuniaria di 20.000 euro per violazione degli artt. (2), 6(1)(a), 24 e 25(1) del Regolamento UE 2016/679 (gdpr), a seguito di un reclamo presentato da un interessato nell'agosto del 2021.

In particolare quest'ultimo, proprio come nel caso francese in apertura, aveva lamentato sia la ricezione di una e-mail promozionale indesiderata, relativa all'offerta di prodotti di questa s.rl., per la quale, però, non aveva mai prestato il proprio consenso, sia il mancato riscontro alla richiesta di esercizio dei diritti. Durante l'istruttoria, la s.r.l. ha dichiarato la propria estraneità rispetto alla condotta contestata nel reclamo, precisando che i dati dell'interessato risultavano essere presenti nelle liste di contatto di una società terza, utilizzate per finalità di marketing.

Il Garante ha, però, osservato che la società, in qualità di titolare del trattamento, aveva stabilito la finalità per la quale il trattamento è stato effettuato affidando alla società terza l'incarico di realizzare una campagna pubblicitaria per il proprio marchio, e, a sua volta, la società terza, per la quale è stato poi avviato un autonomo procedimento, ha ottenuto gli elenchi di indirizzi di posta elettronica da terzi al fine di svolgere l'attività promozionale.

Il Garante, nel suo provvedimento ha sottolineato come la società oggetto di reclamo non avesse mai chiesto alla società terza di documentare la provenienza dei dati, né la base giuridica alla base del loro trattamento per finalità di marketing.

Il Garante ha infine ritenuto che, da un controllo improntato a criteri di ordinaria diligenza, sarebbe stato possibile per la società rilevare la mancanza dei presupposti di liceità del trattamento.

Alla luce di questo, l'Autorità amministrativa ha affermato che Occhiali24.it s.r.l. non ha controllato adeguatamente le operazioni di trattamento finalizzate alla realizzazione della campagna promozionale, con conseguente impossibilità di dimostrare il rispetto del principio di accountability, anche nell'ottica di favorire la Privacy by Design.

Infine, il Garante ha precisato che inviare messaggi promozionali senza il consenso informato dell'interessato, viola l'art. 6, comma 1, lett. a), del gdpr e in conclusione, ha emesso la sanzione.

Dall'analisi di questo caso emerge quella che può essere definita una vera e propria “catena di consensi”: tutte le società coinvolte nel trattamento dei dati per finalità di marketing hanno qualificato il proprio ruolo come “marginale” rimpallandosi l'uno con l'altra la titolarità del trattamento: in particolare i dati dell'interessato (la cui origine è rimasta ignota!) sarebbero risultati presenti nei database di una società e sarebbero stati trattati da un'altra società, su incarico di un'ulteriore organizzazione che agiva, a sua volta, nell'interesse della capofila.

Ma, come già sottolineato, è il committente della campagna di marketing che, avendo delineato le finalità (la veicolazione di messaggi promozionali) e i mezzi del trattamento, deve ritenersi titolare del trattamento. Egli poi ha affidato ad una società terza l’incarico di realizzare la campagna pubblicitaria del proprio marchio che, a sua volta ha attinto a liste di indirizzi e-mail da ulteriori soggetti terzi, al fine di realizzare l’attività promozionale.

In questa lunga filiera di trattamenti di dati, la società committente non si è preoccupata di chiedere alla società a cui ha affidato il compito di eseguire le campagne di marketing alcuna documentazione comprovante la sussistenza dei requisiti di liceità del trattamento: non ha mai chiesto, ad esempio di documentare la provenienza dei dati, né la base giuridica del trattamento per fini di marketing.

Questo quadro di mancato controllo dei trattamenti di dati finalizzati alla realizzazione della campagna promozionale da parte della società committente ha reso evidente, secondo il Garante Privacy, l'incapacità della stessa di ottemperare al rispetto delle norme (accountability), anche in un’ottica di corretta privacy by design.

Questo perché qualora un’azienda decida di svolgere una campagna di direct marketing, servendosi di società terze o utilizzando banche dati acquisite tramite list brokering, deve accertarsi che gli interessati abbiano effettivamente dato il consenso a cedere i loro dati a terzi, e che siano stati messi a conoscenza di quali siano le società a cui vengono cedute le informazioni che li riguardano.

In caso contrario, spetta all'azienda ottenere tale consenso prima di svolgere attività di marketing.

3. Il list brokering a prova di gdpr

La prima cosa da tenere a mente è che, al contrario di quanto successo nei due casi esaminati, la raccolta di dati da parte del list broker deve essere preceduta dal rilascio di un'informativa nella quale siano chiarite sia le finalità di marketing, sia se i dati raccolti saranno oggetto di vendita o condivisione con terzi, indicando chiaramente le categorie merceologiche o economiche dei soggetti ai quali verranno ceduti i dati per scopi di direct marketing.

Nell'informativa si dovrà altresì richiede agli interessati il consenso che è condizione di liceità dell'attività di marketing.

Questo deve essere specifico e documentato: specifico significa che deve essere separato dagli altri (quindi granulare); documentato indica il fatto che se ne debba tenere traccia, insomma deve essere dimostrabile.

Il titolare del trattamento che si serve del list broker e che intende trattare i dati da questo forniti, dovrà poi rilasciare un'informativa propria e autonoma ai sensi dell'art. 14 del gdpr nella quale dovrà essere precisata l'origine dei dati, in modo che gli interessati possano eventualmente rivolgersi anche al fornitore di dati per l'esercizio dei loro diritti.

Ma gli adempimenti del titolare del trattamento non si esauriscono nell'informativa. Anzi, ai fini della conformità al gdpr dell'attività di marketing e della propria accountability egli dovrà verificare tutta una serie di elementi:

• Il primo elemento essenziale è la fonte dei dati ovvero se questi siano stati raccolti direttamente presso l'interessato o se siano stati reperiti altrove. Questo onde evitare quelle lunghe filiere di trattamenti che abbiamo esaminato di apertura e che sono state causa dell'irrogazione delle sanzioni da parte delle autorità di controllo;

• Il soggetto che materialmente ha raccolto i dati ovvero il list broker o ulteriori terze parti delle quali, però, devono essere definiti i compiti e responsabilità, onde evitare il rimpallo della titolarità come è avvenuto per Occhiali24.it;

• Le modalità di raccolta dei dati e l'informativa fornita agli interessanti al momento della raccolta degli stessi con tutte le relative formule di consenso (la cui prestazione deve essere documentata!) con annessa indicazione dei soggetti o delle categorie merceologiche o economiche dei soggetti ai quali i dati sono stati ceduti per scopi di direct marketing. Questa verifica in entrambi i casi esaminati era stata completamente omessa e questa omissione è stata determinante nella definizione e nell'irrogazione delle sanzioni da parte delle autorità garanti. Occorre sottolineare che in ogni caso il trattamento dei dati non deve trasformarsi in una lunga filiera di trattamenti da una società all'altra ad un'altra ancora e che il consenso non deve configurarsi come una “catena di S. Antonio”: dalla raccolta dei dati del primo titolare, ci può essere solo un secondo titolare diretto, tramite lo stesso consenso. I dati non si possono trasferire ulteriormente ad altri titolari: nel caso sarà necessario raccogliere un nuovo consenso;

• Considerato che una delle lamentele rappresentate dagli interessati in entrambi i casi trattati è stata l'impossibilità o la difficoltà dell'esercizio dei diritti, il titolare del trattamento dovrà verificare come questo viene gestito da parte del list broker: se l'interessato è scontento e sporge reclamo al Garante privacy, il non aver controllato puntualmente questo punto getterà discredito su tutta l'attività di marketing.

Una volta svolte tutte queste verifiche, il titolare del trattamento potrà contare sulla prova della propria accountability e confidare che le proprie iniziative promozionali siano conformi alla normativa sul trattamento dei dati personali.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy