Il Garante per la protezione dei dati personali, con un comunicato stampa del 1 febbraio scorso, ha reso noto di aver emesso un provvedimento sanzionatorio nei confronti della società Tim S.p.A., nel quale sono contestati numerosi trattamenti illeciti di dati personali, legati all’attività di marketing, riferiti ad un elevato numero di interessati.
L’attività istruttoria svolta dall’Autorità Garante, iniziata nel 2017, a seguito delle numerose segnalazioni e reclami ricevuti dagli interessati, si è conclusa con il provvedimento n. 7 del 15 gennaio 2020 (doc. web n. 9256486). La vicenda ha suscitato vivo interesse, nei giorni immediatamente successivi alla pubblicazione del provvedimento, in ragione dell’ammontare della sanzione amministrativa pecuniaria (pari ad € 27.802.946,00), che si attesta fra le più elevate in assoluto irrogate dalle autorità di controllo europee in seguito all’entrata in vigore ed applicazione del Regolamento (UE) 2016/679.
Il provvedimento, tralasciando gli aspetti relativi alle questioni di merito emerse in sede istruttoria, nell’affrontare in modo puntuale alcuni dei principali concetti chiave in materia di privacy, fornisce diversi interessanti spunti di riflessione sull’interpretazione ed applicazione delle disposizioni del Regolamento in un settore, come quello del marketing, dove i diritti degli interessati e, più in generale, la protezione dei dati personali sono spesso disattesi.
Procedendo nell’ordine, tra gli aspetti giuridici più rilevanti, oggetto di scrutinio da parte dell’Autorità Garante, merita particolare attenzione l’inquadramento del ruolo dei soggetti coinvolti nei trattamenti per finalità di marketing. Come è emerso anche dal caso in esame, le aziende spesso si avvalgono dei servizi di promozione commerciale erogati da società esterne: dall’acquisizione e raccolta dei dati personali dei potenziali clienti, alla gestione delle campagne pubblicitarie, sino all’effettuazione di chiamate promozionali (cd. telemarketing).
In riferimento allo scenario appena descritto, non vi sono dubbi circa il ruolo di titolare del trattamento in capo all’azienda committente che, determinando “finalità e mezzi del trattamento”, decide di esternalizzare alcune attività e, con esse, il relativo trattamento dei dati personali. Viceversa, il ruolo dei partner esterni (spesso società di marketing o call center), può assumere le caratteristiche tipiche non solo del responsabile del trattamento, ma anche del contitolare. Alla luce dell’analisi e delle argomentazioni fornite dall’Autorità Garante, si ricadrà nella prima fattispecie qualora il soggetto esterno si limiti ad eseguire pedissequamente le istruzioni fornite dal titolare nell’ambito del contratto di affidamento del servizio che, all’uopo, dovrà essere redatto in conformità alle disposizioni dell’art. 28 del Regolamento. Qualora, invece, il partner esterno ponga in essere operazioni di trattamento non previste nel contratto con il titolare – così determinando autonomamente “finalità e mezzi del trattamento” – non può escludersi una sua qualificazione in termini di contitolarità. Ciò potrebbe verificarsi, ad esempio, qualora le attività di telemarketing svolte dalle società esterne non solo eccedano i limiti imposti dal titolare, ma siano altresì svolte “nell’ambito di un disegno unitario e di fatto condiviso” con quest’ultimo, ovverosia quando tali attività promozionali siano funzionali “al perseguimento di un interesse condiviso” dall’azienda committente e dai partner esterni e, di fatto, non sia possibile “disgiungere e separare i relativi connessi obblighi e responsabilità”.
Per queste ragioni, occorre che, nell’affidare determinate operazioni di trattamento a società esterne, le aziende provvedano a disciplinare in modo preciso e puntuale ogni aspetto connesso al trattamento dei dati personali, a partire dal corretto inquadramento del ruolo. Inoltre, alla luce della particolare delicatezza ed invasività dei trattamenti di dati personali per finalità di marketing, nell’ambito dei predetti accordi, occorre che siano previste specifiche procedure di verifica (audit) presso le aziende esterne che consentano al titolare (committente) un adeguato controllo sulla complessiva gestione dei trattamenti dei dati personali per finalità promozionali, in linea con il principio di “data protection by design” e di “accountability”.
Un ulteriore aspetto che, più di tutti, è stato oggetto di analisi e contestazione nel provvedimento a carico della società di telefonia, riguarda il consenso dell’interessato. Nello specifico, l’Autorità Garante ha contestato numerosi trattamenti illeciti dovuti alla mancata acquisizione del consenso dell’interessato, tra cui: telefonate promozionali, comunicazione dei dati ad aziende partner, invio di comunicazioni pubblicitarie non richieste e, più in generale, per finalità non dichiarate nell’informativa sottoposta agli utenti. In altri casi, è stata contestata l’acquisizione di un consenso “estorto”, e quindi non libero, in quanto richiesto come condizione necessaria per conseguire ulteriori vantaggi offerti all’interessato (quali, ad esempio, operazioni a premi).
In considerazione di quanto rilevato dall’Autorità Garante, giova ribadire che, in termini generali, nell’ambito delle attività di marketing – salvo particolari e limitate eccezioni – il titolare che intende trattare i dati personali per finalità promozionali, deve prima acquisire il consenso dell’interessato. Per definizione, il consenso è l’espressione di volontà dell’interessato mediante la quale egli manifesta il proprio assenso affinchè i propri dati personali siano oggetto di trattamento (art. 4, n. 11, del Regolamento) e, al tempo stesso, rappresenta una delle condizioni di liceità del trattamento (art. 6 del Regolamento).
Affinchè il consenso acquisito sia considerato valido, prima di tutto occorre che l’interessato sia posto in condizione di apprendere il contenuto dell’informativa (art. 13 del Regolamento), che dovrà essere redatta in forma concisa, trasparente, intelligibile e facilmente accessibile, e con un linguaggio semplice e chiaro (art. 12 del Regolamento). Inoltre, deve essere consentito all’interessato di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei propri dati, manifestando il proprio assenso in relazione a ciascuna finalità perseguita dal titolare (cd. “consenso modulare” o “granularità del consenso”).
In altri termini, l’azienda che, nell’ambito delle proprie attività promozionali, intende trattare i dati personali dei propri clienti per diverse finalità (es. marketing, profilazione, comunicazione a società partner e così via), dovrà adottare ogni misura opportuna affinchè sia garantita all’interessato la possibilità di esprimere un’autonoma valutazione e determinazione in ordine a ciascuna distinta finalità, ben potendo essere ognuna di esse perseguita singolarmente.
Un’altra criticità contestata, strettamente correlata a quanto appena illustrato, riguarda la mancata corretta gestione dei consensi manifestati o revocati dagli utenti e del diritto di opposizione o cancellazione da questi ultimi esercitato. In proposito, come prescritto dall’Autorità Garante nei confronti della società di telefonia, occorre ribadire che ciascuna azienda, nella gestione dei trattamenti di dati personali legati alle attività di marketing, in qualità di titolare del trattamento è tenuta a garantire, in ogni momento, l’effettiva cessazione di ogni attività di trattamento qualora l’interessato abbia, in qualunque modo, manifestato il proprio dissenso, ad esempio revocando il consenso inizialmente prestato o esercitando il proprio diritto di cancellazione o di opposizione.
Per garantire questo, occorre quindi che ciascun titolare del trattamento, nell’ambito delle proprie politiche interne in materia di protezione dei dati personali, in attuazione dei principi di “accountability” e di protezione dei dati “by design”, adotti ogni misura tecnica e organizzativa adeguata, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, volta ad integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti previsti dal Regolamento e tutelare i diritti degli interessati (art. 25 del Regolamento).
Come spesso accade, anche in realtà aziendali dalle dimensioni più modeste, l’individuazione delle misure adeguate comporta una complessa attività valutativa che deve necessariamente coinvolgere ogni aspetto connesso alle attività legate al marketing: dalle modalità di raccolta e gestione dei dati dei clienti (o utenti), alle politiche di gestione, registrazione e creazione dei database contenenti i dati personali riferiti ai destinatari delle campagne pubblicitarie; se del caso, la valutazione dovrà coinvolgere anche le attività di trattamento affidate alle società esterne, ivi comprese le modalità di comunicazione o accesso ai dati personali e la gestione coordinata delle banche dati del titolare del trattamento. Dette misure, opportunamente documentate, dovrebbero assicurare, in ogni momento, il governo e la verifica delle attività di marketing e, quantomeno, la corretta gestione dei consensi degli interessati in relazione alle specifiche finalità dei trattamenti, l’immediata ed effettiva cessazione del trattamento in caso di revoca del consenso, nonché la puntuale gestione delle istanze di esercizio dei diritti degli interessati.
Concludendo l’analisi del provvedimento, meritano un breve accenno le contestate modalità di accettazione delle condizioni contrattuali nell’ambito di una procedura prevista dalla società di telefonia. In particolare, la procedura in esame prevedeva la necessaria accettazione – congiunta e inscindibile – di “termini di servizio” e informativa privacy. Si tratta, invero, di uno scenario assai frequente nell’ambito delle realtà aziendali, ove spesso i trattamenti di dati personali per finalità di marketing sono svolti, in tutto o in parte, attraverso applicazioni o piattaforme web che, in fase di adesione al servizio, presentano all’utente le condizioni generali d’uso accompagnate dall’informativa e dall’eventuale sezione dedicata ai consensi privacy.
In questi casi, come sottolineato dall’Autorità Garante, l’accettazione congiunta e inscindibile delle condizioni contrattuali e dell’informativa – sebbene non possa ammettersi alcuna forma di “accettazione” dell’informativa, in quanto si tratta di una comunicazione del titolare verso l’interessato – non può, in ogni caso, ritenersi in linea con i principi di correttezza e trasparenza (art. 5 del Regolamento). Ciò in quanto tali modalità operative potrebbero ingenerare il ragionevole dubbio negli utenti riguardo a una possibile interferenza dell’accettazione con la gestione dei consensi ai trattamenti eventualmente indicati nell’informativa.
Alla luce di quanto sin qui emerso, e in considerazione del mutato quadro normativo in materia di protezione dei dati personali, appare evidente quanto per le aziende sia fondamentale avviare il prima possibile un percorso di cambiamento delle proprie politiche in tema di marketing, non solo per evitare aspre sanzioni, ma soprattutto per garantire il pieno rispetto dei diritti degli interessati e la protezione dei dati personali quale diritto fondamentale degli individui.
In questo senso, a conclusione di queste brevi riflessioni, meritano di essere ricordate le parole – particolarmente significative e, ancora oggi, più che mai attuali – riportate in una pubblicazione del 2015 a cura dell’Autorità Garante: “Nel momento in cui un’azienda si approccia al mercato deve decidere quale strategia adottare. Al di là delle questioni squisitamente tecniche e commerciali, la prima scelta che si trova davanti è quella di decidere se comportarsi come una società “amica del cliente” oppure no: se entrare nella sua vita di nascosto e senza essere stata invitata o proporsi apertamente come consigliere per gli acquisti, se “bombardarlo” di spam o se chiedere il permesso prima di contattarlo al telefono o su Internet.” (Vademecum “Dal telefono al supermercato: il marketing a prova di privacy”, Garante per la protezione dei dati personali, 2015)
- La protezione dei dati personali nelle attività di marketing: brevi riflessioni sul provvedimento del Garante nei confronti della società Tim S.p.A. - 10 Febbraio 2020
- Il decreto di recepimento della Direttiva UE in materia di trattamento dei dati personali da parte delle autorità competenti in ambito penale - 4 Giugno 2018
- La valutazione di impatto sulla protezione dei dati - 12 Maggio 2018