Privacy by design e accountability per l’acquisizione dei consensi nelle attività di marketing

Un recente provvedimento prescrittivo e sanzionatorio dell’Autorità Garante della protezione dei dati personali in materia di marketing (provv. 15 Dicembre 2022 – doc. web n. 9856345) ripropone interessanti temi di data protection legati al rispetto del principio della Privacy by design e by default.

Con riferimento alla gestione dell’informativa e dei consensi l’Autorità dopo aver simulato una procedura di iscrizione al sito web del titolare del trattamento conferendo alcuni dati anagrafici (nome, cognome, codice fiscale, numero di cellulare e indirizzo e-mail), ha constatato che veniva acquisito un unico consenso per finalità di marketing e di profilazione inidoneo a costituire una corretta base giuridica. Come noto, il consenso affinché possa rappresentare una idonea base giuridica deve essere informato, specifico, libero, esplicito e inequivocabile (Artt. 6 e 7 Regolamento UE 2016/679 e art. 130 Dlgs n.196/2003 e smi).

In merito all’utilizzo di liste c.d. “consensate” ottenute da un soggetto terzo, a sua volte cessionario di tali anagrafiche sulla base di un consenso viziato rilasciato all’iniziale titolare del trattamento, osserva il Garante che è necessario in capo al titolare del trattamento procedere a richiedere e acquisire un nuovo consenso alla propria attività promozionale.

Questa “mancanza” è in contrasto con i principi di accountability (art. 5.2 del Regolamento UE) e di privacy by design poiché la società non risulta essersi occupata, come invece necessario, di verificare l’effettiva conformità alla normativa dei consensi acquisiti dal fornitore. (Per approfondimenti si vedano: Linee guida in materia di attività promozionale e contrasto allo spam – provv. 4 luglio 2013, doc. web n. 2542348; provv. 22 maggio 2018, doc. web n. 8995274; provv. 11 dicembre 2019, doc. web n. 9244365; provv. 12 novembre 2020, doc. web n. 94856801; provv. 13 maggio 2021, doc. web n. 9670025; provv. 16 settembre 2021, doc. web n. 9706389).

Un’ottica di responsabilizzazione 

Aggiunge l’Autorità Garante che i nuovi princìpi dettati dal GDPR inquadrano le competenze del titolare in un’ottica di responsabilizzazione (accountability) ed impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi. Spetta pertanto al titolare adottare misure di particolare garanzia al fine di dimostrare che i contratti e le attivazioni registrate nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali (v. provv. n. 143 del 9 luglio 2020, doc. web n. 9435753; “Provvedimento in materia di propaganda elettorale e comunicazione politica”, 18 aprile 2019 doc. web n. 9105201; provv. n. 363, 22 maggio 2018, doc. web n. 8995274; provv. gen. spamming, 29 maggio 2003, doc. web n. 29840).

Analogamente, è obbligo del titolare dimostrare di aver adeguatamente registrato e contestualizzato i dinieghi espressi dagli interessati alla ricezione di ulteriori comunicazioni promozionali; circostanza, questa, che non ricorre nel caso di specie. Anzi, sotto questo profilo l’istruttoria condotta dal Garante ha evidenziato che gli utenti contattati nel corso della campagna promozionale che esprimevano la volontà di non ricevere ulteriori chiamate pubblicitarie venivano contrassegnati con la dicitura “Rif. Legge sulla Privacy” che escludeva eventuali ulteriori contatti esclusivamente in relazione alla campagna in corso di svolgimento, ma non includeva anche “la revoca del consenso privacy".

Infine, una breve riflessione sulla sanzione irrogata di quasi cinque milioni di euro. Il quantum di una sanzione deve rispettare il principio di proporzionalità e dissuasività (art. 83, par. 1), e tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento europe.

Per effetto di queste valutazioni la sanzione irrogata è stata contenuta allo 0,1% dell’ultimo fatturato disponibile. Da ultimo si ricorda che ai sensi dell’art. 166, comma 8, del Codice, c’è la possibilità di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

Articolo di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy