Il Garante della privacy ha emanato tre provvedimenti sanzionatori nei confronti di tre società che, a diverso titolo, hanno violato il GDPR per aver inviato messaggi promozionali via SMS ad utenti senza il loro consenso, chiarendo che chi commissiona campagne promozionali a società terze ha l’onere di verificare sempre e in ogni caso la provenienza dei dati e la genuinità dei consensi rilasciati.
I fatti
Un’azienda aveva commissionato ad un’agenzia di marketing l’incarico di avviare per suo conto una campagna promozionale via SMS a potenziali clienti; l’agenzia, a sua volta, si era rivolta ad altri fornitori che poi avevano acquisito le banche dati da altri terzi.
Nell’ambito di tali operazioni che il Garante ha assimilato al modello delle scatole cinesi, è emerso che i dati delle persone contattate giungevano da liste non verificate create da soggetti stranieri che non avevano alcun rappresentante sul territorio italiano con dati personali di soggetti che non avevano rilasciato alcun consenso al marketing, né tanto meno quello alla cessione dei dati a terzi.
La segnalazione è giunta al Garante dal reclamo promosso da due utenti, i quali spiegavano di essere stati raggiunti da messaggi promozionali senza aver mai rilasciato il loro consenso e senza peraltro aver ottenuto alcun riscontro dall’esercizio del loro diritto di opposizione al marketing, nè dalla richiesta di informazioni rivolta alla società in questione.
In merito, l’Autorità ha precisato che l’azienda che commissiona campagne di marketing e che determina la finalità e le modalità di trattamento deve controllare sempre la provenienza dei dati personali cui vengono indirizzati i messaggi promozionali che intende inviare anche quando l’attività viene svolta da terzi dalla stessa ingaggiati (l’agenzia di marketing in questo caso), i quali agiscono come responsabili del trattamento, trattando appunto dati personali per conto di un committente.
Le garanzie richieste al fornitore anche se contrattualizzate non sono sufficienti ad evitare la sanzione
Non basta, scrive il Garante, ottenere contrattualmente la garanzia da parte del fornitore terzo sulla genuinità della provenienza dei dati e prevedere una manleva, riversando la responsabilità sul fornitore; questo può salvare nel quadro dei rapporti tra le parti, ma non sul piano della sanzione amministrativa in materia di privacy.
Dal punto di vista amministrativo, infatti, il titolare del trattamento ha l’onere di controllare che la garanzia prestata dal responsabile sia effettiva.
Il committente delle campagne di marketing deve, dunque, ottenere dal fornitore la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento ed è tenuto ad esaminarla, conservando le prove delle verifiche così effettuate.
Nel caso di specie, invece, la committente non aveva mai chiesto alla fornitrice, responsabile delle campagne di marketing, di documentare la provenienza dei dati e, con riguardo alle campagne pubblicitarie nelle quali erano compresi gli sms pervenuti ai reclamanti, il contratto firmato tra le parti riportava solo l’elenco dei list provider di cui la società responsabile delle campagne intendeva avvalersi, con facoltà per la committente di richiederne la sostituzione. La committente, avrebbe invece dovuto eseguire un controllo più accurato e da quel controllo si sarebbe di certo accorta che gli utenti, cui venivano inoltrati i messaggi pubblicitari da essa commissionati, non avevano in realtà rilasciato alcun consenso al marketing, né alla cessione di dati a terzi.
La data e un indirizzo IP non bastano a provare che il consenso dell’utente è per il marketing
In merito, si rammenta che il Garante, già in un provvedimento del 2017 aveva peraltro precisato che la documentazione del consenso tramite l’indicazione del solo indirizzo IP e una data, non sono sufficienti a certificare la volontà inequivocabile degli interessati (cfr. il provvedimento Garante del 26 ottobre 2017); una data e un indirizzo IP, senza alcun altro riferimento potrebbe al massimo indicare il giorno di avvenuta registrazione ad un sito, ma non anche provare che sono stati prestati uno o più consensi.
Per una verifica accurata, occorre ricorrere, spiega il Garante, ad altre modalità che possono garantire un livello di certezza più elevato in merito alla liceità di manifestazione del consenso, come, ad esempio, inviare un messaggio di conferma al recapito indicato in fase di iscrizione.
Il committente, dunque, dovrebbe effettuare controlli in tal senso sul fornitore terzo, appurando con verifiche effettive, almeno a campione, che tali operazioni siano state compiute dal fornitore.
Il committente è altresì responsabile quando l’utente si oppone al marketing
Avvalersi di responsabili affidabili, non è pertanto sufficiente a salvare il titolare del trattamento dalla sua responsabilità in vigilando; il committente campagne di marketing [titolare del trattamento] che ricorre a fornitori terzi, deve sempre diligentemente controllarne e verificarne adeguatamente l’operato, conservando traccia della verifica compiuta, in particolare quando l’attività comporti il coinvolgimento di soggetti terzi, in ragione della potenziale elusione delle norme di garanzia attraverso la ripartizione negoziale delle responsabilità; allo stesso modo, se l’utente esercita il suo legittimo diritto di opposizione al marketing, è il titolare del trattamento che ha il compito/dovere di assicurare che messaggi promozionali, effettuati per suo conto, non raggiungano più chi abbia revocato il consenso o abbia manifestato uno specifico rifiuto (cfr. anche provvedimento del 9 luglio 2020).
Attenzione dunque: quando si commissionano campagne di marketing, il titolare del trattamento deve sempre verificare correttamente ed adeguatamente la provenienza dei dati personali e la sussistenza dei requisiti richiesti dal GDPR affinchè il trattamento dei dati sia lecito, mantenendo traccia delle verifiche effettuate, pena pensanti sanzioni; così come anche accertarsi che chi si sia opposto a ricevere messaggi di marketing venga effettivamente cancellato dalla sua lista.
Il Garante ha anche sanzionato l’agenzia di marketing a cui la campagna era stata commissionata, la quale ha agito nel ruolo di responsabile del trattamento, precisando che: se ogni onere di controllo sull’attività del responsabile ricade sul titolare, è pur vero che il responsabile dal trattamento ha comunque un proprio specifico obbligo di eseguire correttamente le istruzioni ricevute dal titolare.
L'Autorità ha altresì richiamato il fornitore delle campagne di marketing, in maniera più generica, imponendogli di non utilizzare dati personali senza aver verificato in concreto la liceità dell’originaria acquisizione e di rispettare le istruzioni del titolare del trattamento.
Infine, una sanzione è stata formulata nei confronti di una delle due società che, agendo quale intermediaria, aveva procurato da altri fornitori [list provider] le liste non verificate; la sanzione, in questo caso, è stata emessa per mancato riscontro alle richieste del Garante, reiterando un comportamento omissivo peraltro già oggetto di una precedente sanzione.