Sending commercial communications for promotional purposes to users must always be preceded by the acquisition of a valid consent, which must be free, specific and accountable. The Data Controller is also responsible for implementing adequate organizational and technical measures in order to guarantee the correct management of the rights of the data subjects, with particular reference to the right to object to the processing.
This is what is established by the provision of the Data Protection Authority n. 133 of 20 June 2019.
IL FATTO:
In seguito ad una segnalazione pervenuta al Garante per la protezione dei dati personali in materia di invio di comunicazioni commerciali via e-mail da parte di Mediamarket S.p.A. (titolare del marchio “Mediaword”), in assenza del necessario consenso e nonostante la reiterata opposizione da parte dell’interessato, il Garante ha avviato a febbraio 2018 un accertamento ispettivo presso la sede della società Mediamarket S.p.A. Nel corso delle indagini al Garante è pervenuta una ulteriore segnalazione legata all’invio di comunicazioni commerciali riconducibili alla medesima società.
Per quanto riguarda la prima segnalazione, i dati personali dell’utente erano stati raccolti in occasione della sottoscrizione di due carte fedeltà “Saturn” (brand oggetto di una operazione di re-branding a vantaggio del marchio “Mediaword”) nel 2007 e nel 2009. Durante le indagini, emergeva che, limitatamente al modulo a marchio “Saturn”, all’utente non era stato richiesto un consenso specifico per le finalità promozionali ma un unico consenso per finalità commerciali e gestione delle attività contrattuali e precontrattuali relative al rilascio e alla gestione della fidelity card del marchio “Saturn”. Emergevano altresì irregolarità in merito alla conservazione dei dati e in particolare alla conservazione dei moduli cartacei sottoscritti dal cliente per la registrazione al programma fedeltà “Saturn” e attestanti l’acquisizione del consenso.
Con la seconda segnalazione pervenuta, un utente riferiva al Garante di non aver potuto cancellare il proprio indirizzo dalla mailing list della società Mediamarket S.p.A., né utilizzando la funzionalità “unsuscribe” né contattando l’indirizzo indicato nell’informativa fornita all’epoca dell’adesione alle iniziative promozionali della società. Grazie alle indagini, il Garante rilevava che Mediamarket S.p.A. prima del 2017 faceva uso di un sistema informatico che non permetteva alla società di disporre di una lista di tutti coloro che risultavano aver espresso diniego al trattamento per finalità promozionali al momento della raccolta o successivamente e, per quanto concerne la gestione delle richieste di cancellazione dei dati, Mediamarket S.p.A. aveva mantenuto per diverso tempo nel pubblico registro delle notificazioni un indirizzo di posta elettronica quale possibile dato di contatto per richieste di cancellazione, assegnato ad una dipendente cessata dal servizio e quindi disabilitato e non funzionante.
Il Garante, al termine delle indagini ha dunque ritenuto che, riguardo alle fidelity card del brand “Saturn” sottoscritte tra il 2001 e il 2009 il consenso raccolto con formula unica comprensiva anche del consenso per attività contrattuale e para-contrattuale non può considerarsi liberamente espresso dagli interessati. La capacità di autodeterminazione degli interessati non è infatti assicurata quando si assoggetta la fruizione di finalità contrattuali all’autorizzazione di trattare dati per finalità promozionali.
Il Garante ha inoltre ritenuto illecito l’invio di comunicazioni commerciali a clienti che abbiano esercitato il diritto di opposizione al trattamento per finalità di marketing. In generale, i dati personali per i quali la società non disponga di un documentato consenso libero e specifico per finalità di marketing, non possono essere trattati per tali scopi. Ulteriore carenza è stata rilevata in ambito organizzativo, poiché la società non ha opportunamente dato seguito al diritto di opposizione esercitato da alcuni utenti, avendo mantenuto nel pubblico registro delle opposizioni, un indirizzo di posta elettronica disabilitato quale possibile dato di contatto per gli interessati.
Anche ai sensi del Regolamento UE 679/2016, il titolare è tenuto a predisporre misure tecnico-organizzative volte a favorire l’esercizio dei diritti da parte degli interessati, anche programmando i propri sistemi informatici al fine di poter verificare eventuali opposizioni o revoche del consenso da parte degli utenti. Il Regolamento UE 679/2016 prevede inoltre che il titolare sia tenuto ad osservare determinati obblighi e principi al fine di una corretta applicazione delle disposizioni in materia di tutela dei dati personali, quali, ad esempio, il principio di responsabilizzazione e di privacy by design.
Il Garante ha dunque segnalato alla società l’opportunità di intervenire sulle proprie procedure organizzative e operative, al fine di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati e, nello specifico, il diritto di opposizione, nonché per assicurare il tracciamento puntuale, rispetto a ciascun interessato, degli adempimenti imposti dalla normativa, tracciando l’origine dei dati, la modalità e il testo con cui sia fornita l’informativa, le opzioni di consenso o dissenso formulate in sede di raccolta dei dati e le eventuali modifiche a tali consensi.
PERCHÉ È IMPORTANTE:
Il Provvedimento in esame risulta di notevole interesse poiché affronta diversi temi fondamentali per le società che effettuino attività di trattamento di dati di clienti e marketing. Le attività di marketing possono essere svolte esclusivamente dopo l’acquisizione di un valido consenso da parte dei destinatari; tale consenso deve sempre essere libero e specifico per le diverse finalità. Infine, per tutte le società, è rilevante ricordare la necessità di dotarsi di un efficace sistema organizzativo, che consenta di gestire correttamente l’attività di acquisizione e conservazione dei dati personali, nel rispetto del principio di accountability e privacy by design stabiliti dal Regolamento UE 679/2016.
No Comments