Privacy: se il marketing è illecito sono tutti sanzionabili

Newsletter del 31 gennaio 2022 del Garante privacy
marketing territoriale
marketing territoriale

Marketing e privacy: il consenso è fondamentale

Marketing e privacy si scontrano spesso, si sa. Da una parte, l’esigenza di trattare quanti più dati personali possibili per portare a segno la campagna di marketing mentre, dall’altra, il diritto a controllare i propri dati personali che il Regolamento Europeo sulla protezione dei dati (GDPR) riconosce ad ogni persona fisica.

Il punto di incontro tra il “mondo” marketing e quello privacy è il “consenso marketing”, noto anche come “spunta marketing”. Ottenere un consenso che rispetti i requisiti previsti dal GDPR permette di trattare i dati per finalità di marketing.

Cosa succede se la campagna di marketing viene realizzata con dati raccolti illecitamente? Scatta la sanzione che, in conformità a quanto prevede l’articolo 83 del GDPR, può arrivare fino a 20 milioni di euro (o fino al 4% del fatturato mondiale).

Ma chi viene sanzionato se, come avviene di solito, la campagna di marketing viene commissionata a terzi? Chi commissiona la campagna, chi la mette in atto o chi ha fornito i dati ottenuti illecitamente?

La risposta a quest’ultima domanda viene chiarita ancora una volta dal Garante privacy che, nella sua newsletter di gennaio 2022, ricorda che la sanzione per aver trattato dati personali illecitamente raccolti nell’ambito di una campagna di marketing cade, a diverso titolo, su tutte le figure coinvolte.

In altre parole, per una campagna di marketing illecita le sanzioni sono tre, in questo caso rispettivamente di euro 400.000 per il committente, 200.000 al fornitore del servizio marketing e 90.000 all’intermediario che ha contribuito a procurare parte della lista contatti impiegata.
 

Privacy: la sanzione al beneficiario della campagna marketing   

Si parte con la sanzione irrogabile al beneficiario della campagna marketing, ovverosia all’impresa che ha commissionato la campagna di marketing “incriminata”.

Perché è stato sanzionato il committente della campagna di marketing nonostante i dati trattati venissero messi a sua disposizione da parte di un altro soggetto (il fornitore), non avendone dunque il committente della campagna la materiale disponibilità?

Perché, osserva il Garante privacy, chi commissiona la campagna di marketing è comunque da considerare il titolare del trattamento dei dati personali dei destinatari dei messaggi marketing, e deve vigilare sull’operato della società a cui viene affidata l’esecuzione della campagna, non potendo fare affidamento solo sulle garanzie professionali e contrattuali fornite da quest’ultima.

Infatti, dopo aver ricordato che il GDPR individua come titolare del trattamento colui che decide sulle finalità e sui mezzi del trattamento, il Garante ha specificato che la committente della campagna di marketing non è dispensata dalla qualifica a titolare del trattamento per il semplice fatto di non avere la materiale apprensione dei dati se, dalla concreta esecuzione della campagna marketing, risulta che è la committente a prendere le decisioni su finalità e mezzi del trattamento, indipendentemente dalla volontà cartolare contenuta nel contratto con il fornitore del servizio marketing.

E quali sono queste “decisioni in ordine alle finalità e alle modalità del trattamento”?

Il Garante specifica anche questo: il motivo per cui è stato posto in essere il trattamento (invio di messaggi marketing), la scelta dei criteri che la società esecutrice della campagna di marketing avrebbe dovuto osservare (target dei destinatari dei messaggi, frequenza degli invii e contenuto dei messaggi) e la selezione sul mercato del soggetto a cui affidare l’esecuzione della campagna di marketing.

In quanto titolare del trattamento, il committente della campagna di marketing è stato quindi sanzionato per non aver controllato che il fornitore del servizio marketing operasse in maniera conforme al GDPR, avendo fatto affidamento solo sulle garanzie verbali e/o contrattuali e sulla professionalità dell’incaricato ad eseguire la campagna di marketing.
 

Privacy: la sanzione al fornitore del servizio di marketing

La seconda sanzione è spettata al fornitore del servizio di marketing, a questo punto qualificato come responsabile del trattamento.

Quest’ultimo, nel caso di specie, aveva messo a disposizione la propria piattaforma per il materiale invio dei messaggi marketing ai destinatari e il Garante ha ritenuto sanzionabile la mancata osservanza alle istruzioni del titolare del trattamento, per non aver il fornitore verificato la qualità dei dati trattati nell’ambito della campagna di marketing, provenienti da due list provider extra-UE, nonostante la committente della campagna di marketing si fosse preoccupata di chiedere garanzia contrattuale della liceità dei dati impiegati per la campagna marketing.

Quindi, similmente a quanto statuito nel provvedimento relativo al titolare del trattamento, anche in questo caso l’oggetto della contestazione è stato un mancato controllo, sebbene qui riferito alla qualità dei dati forniti dal list provider.

Oltre alla sanzione del Garante, occorrerà considerare anche i profili di responsabilità contrattuale del fornitore verso il committente della campagna di marketing, dato che il contratto tra gli stessi prevedeva una manleva.
 

Privacy: la sanzione a chi ha fornito i dati (list provider)

Dulcis in fundo, la sanzione ai due list provider extra-UE (uno svizzero e uno statunitense), ovverosia ai proprietari delle banche dati contenenti i dati di contatto dei potenziali destinatari della campagna di marketing.

E qui casca l’asino, e l’enforcement del GDPR con esso.

Quelli che il Garante correttamente individua come i primi titolari autonomi dei dati dei destinatari dei messaggi di marketing, dato che tali dati furono raccolti in un momento precedente e del tutto indipendente dall’avvio della campagna di marketing, non vengono raggiunti da alcun provvedimento sanzionatorio a causa dell’impossibilità di verificare, in concreto, il ruolo di tali figure.

Infatti, mentre il list provider statunitense veniva menzionato solo a istruttoria ormai chiusa, quello svizzero è stato “coperto” dall’intermediario che aveva curato i rapporti tra questo e la fornitrice della piattaforma per l’esecuzione della campagna di marketing, il quale si è sottratto a qualsiasi interlocuzione con l’Autorità.

I soggetti all’origine dell’illiceità dei dati personali trattati nell’ambito della campagna di marketing non vengono quindi sanzionati per concreta impossibilità di verifica e, dalla lettura dei provvedimenti, emerge chiaramente come tale impossibilità sia stata dovuta alla natura extra-UE di tali operatori e alla mancata individuazione di un rappresentante in UE, come prescrive il GDPR. Se quest’ultima figura fosse stata individuata dai due list provider, probabilmente il Garante avrebbe potuto irrogare una sanzione anche ai list provider. 

Stando così le cose, l’Autorità non ha potuto far altro che sanzionare per 90.000 euro solamente l’intermediario del list provider svizzero per non aver riscontrato le richieste istruttorie del Garante.