Il consenso privacy non è cedibile: il Garante sanziona Iren per 3 milioni di euro - Cyber Security 360

TELEMARKETING

Il consenso privacy non è cedibile: il Garante sanziona Iren per 3 milioni di euro

Telemarketing e liste di brokering: il Garante Privacy ha sanzionato Iren Mercato per mancanza di consenso adeguato e passaggi multipli di dati personali. Ecco alcuni utili insegnamenti per tutte le aziende

24 Giu 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

È ormai periodico l’intervento sanzionatorio del Garante Privacy in ambito marketing: questa volta è toccato a una società del mercato energetico – la Iren Mercato S.p.A. – che avrebbe errato nell’uso di dati personali raccolti da terzi (c.d. list broker), i quali hanno venduto liste di contatti alla società. La quale a sua volta ha utilizzato tali contatti per comunicazioni di marketing ma senza i necessari consensi, infine ricevendo una sanzione da parte del Garante di tre milioni di euro.

La fattispecie in sé non è affatto nuova, possiamo tra i tanti citare la recente sanzione da più di 10 milioni di euro comminata a gennaio 2020 verso Eni Gas e Luce, dunque un competitor proprio di Iren e proprio per l’acquisizione di liste di contatti prive di specifici consensi.

Vediamo di seguito i dettagli del provvedimento.

Le prescrizioni per il consenso a favore di terzi per marketing

È noto come il Garante, in ottica di trasparente consenso informato, esiga che il trasferimento di dati a terzi per fini di marketing sia sempre specifico, oltre che limitato a un singolo passaggio tra soggetti titolari autonomi.

Tra i vari provvedimenti passati del Garante, ricordiamo le Linee-guida del Garante in materia di spam del 2013 ove si affermava che “il titolare del trattamento (ndr. che) intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa ai sensi dell’art.13, comma 1 del Codice”. Anche il WP29 ne aveva rispecchiato l’indirizzo nella sua Opinion n. 15 del 2011 sul consenso.

Parimenti, nel citato provvedimento del Garante verso Eni Luce e Gas, n. 232/2019, si ricordava che “il consenso, inizialmente rilasciato ad un titolare del trattamento anche per attività promozionali di terzi, se può risultare idoneo alla comunicazione dei dati stessi a questi ultimi, non può invece estendere la sua efficacia anche a successive cessioni ad ulteriori titolari, poiché le stesse non possono dirsi supportate dal necessario consenso, specifico ed informato dell’interessato”. Ciò a vietare con maggiore chiarezza le prassi di “catene” plurime nei trasferimenti di dati.

Il caso Iren: consensi e prove non regola

Iren Mercato S.p.A., stando all’indagine del Garante, per propri fini di marketing non ha sfruttato contatti raccolti in proprio bensì ha acquistato liste di contatti da società terze, per promuovere le proprie attività di approvvigionamento e vendita di energia elettrica, gas e calore per teleriscaldamento.

Tali terze società avevano sì raccolto il consenso degli interessati – direttamente o tramite ulteriori terzi – ma tale consenso non copriva specificamente la comunicazione dei dati a Iren, alla sua categoria commerciale di attività o altre specifiche attività promozionali conto terzi.

In particolare, spesso la formula di consenso utilizzata riportava così: “per l’invio di informazioni ed offerte commerciali anche da parte di terzi”. In tal caso veniva raccolto un consenso unico, per il titolare e per terzi, oltre che riferito a terzi generici e vaghi – tale formula era palesemente insufficiente.

Peraltro, in molti casi vi sono stati molteplici passaggi di tali consensi tra vari titolari e titolari-responsabili, con ovvie conseguenze sulla liceità del seguente (ri)utilizzo; anche quando era acquisito un doppio consenso, esso perdeva di valore in virtù di molteplici movimentazioni dei dati: dal primo titolare a un terzo (passaggio coperto dal consenso), dal terzo a un ulteriore terzo (passaggio illecito e non coperto dal consenso).

Lato probatorio, peraltro, varie criticità “sono emerse con riguardo alla tabella relativa ai “dati log degli interessati”, riportata nella documentazione riferibile alla stessa, non essendo stato possibile individuare, tra i vari campi evidenziati (relativi ai nominatavi, all’indirizzo fisico ed IP), quello attestante la registrazione-valorizzazione del consenso. Così come, nell’allegato modulo “opt-in e consensi prestati”, è risultata presente solo la formula di prestazione dei consensi senza alcuna indicazione circa una manifestazione di volontà effettivamente riferibile agli interessati”. In un altro caso ulteriori criticità “dall’esame delle schermate del sistema prodotte da quest’ultima che riportavano la menzione di consensi rilasciati dagli interessati e valorizzati come “accepted”, anche in tal caso senza alcuna indicazione circa il trattamento al quale gli stessi erano riferibili”.

Interessati anche le considerazioni del Garante sul ruolo del c.d. list broker/provider coinvolto nei vari passaggi di contatti: l’Autorità ha chiarito che dichiarare di aver “solo organizzato, razionalizzato e reso fruibili le anagrafiche degli interessati in ragione delle finalità di marketing per le quali i dati sono stati raccolti e ceduti ad Iren Mercato, non contraddice, nella sostanza, il predetto ruolo di autonomo titolare” – in quanto dotato di un’autonomia gestionale e di scelta circa modalità e mezzi per raccogliere, gestire e trasmettere i dati alle società clienti per le relative finalità di marketing.

GDPR e marketing, l’uso delle liste contatti: ecco le regole per non sbagliare

Non poteva mancare un tentativo in sede difensiva – non inedito – per tentare di basare i vari passaggi di contatti non già sul consenso bensì sul legittimo interesse (art. 6.1.f GDPR): nel caso concreto mancava “un attento bilanciamento, peraltro adeguatamente documentato, tra i diritti degli interessati e le aspettative circa il trattamento dei relativi dati personali e l’interesse del titolare stesso”, cioè mancava del tutto un Legitimate Interest Assessment (LIA) a fondare la liceità dell’operato della società. Non c’era stata nessuna riflessione sugli interessi in gioco.

Non è finita: la società è risultata aver contatto telefonicamente i predetti contatti, senza seguire la procedura di consultazione del Registro delle Opposizioni – su cui abbiamo scritto in questa sede più volte, anche per dare conto dell’attuale riforma in atto. Dulcis in fundo, non ha dato corso a numerose richieste di esercizio dei diritti degli interessati.

I contatti non regola sono risultati di diversi milioni di interessati. Le violazioni contestate degli artt. 6 e 7 del GDPR, con contestuale violazione dei principi di liceità, correttezza e trasparenza del trattamento (art. 5), nonché del principio di accountability (sempre ex art. 5).

Ecco che il Garante ha dunque deciso, il 13 maggio ultimo scorso, per un’adeguata sanzione pecuniaria di tre milioni di euro, comminata a Iren. Da ultimo, l’autorità ha anche rivolto un avvertimento alla società, colpevole di aver fornito una rappresentazione e una documentazione probatoria incompleta ed inidonea durante la fase istruttoria, il che può integrare la violazione di quei doveri di collaborazione cui il titolare del trattamento è tenuto ai sensi dell’art. 31 GDPR.

Quali insegnamenti apprendere

Paiono piuttosto ovvie le lezioni, ormai trite, che possiamo ricavare per tutti i titolari che operano in maniera analoga alla società sanzionata, cioè che acquisiscono liste contatti per fini di marketing.

Le riassumiamo comunque qui, a fronte di una realtà purtroppo non sempre ricettiva alle buone pratiche sul tema e pertanto potrebbe giovare ripeterle ancora una volta:

  1. acquisire sempre e solo liste di contatti non già “in buona fede”, come asserito anche in sede difensiva in questo caso, bensì ad es. a fronte di campioni di prove idonee a certificare un corretto operare o altre forme di verifica e audit;
  2. verificare in particolare l’uso di consensi specifici per la comunicazione dei dati alla propria impresa quale terzo, in sede di raccolta;
  3. non utilizzare i medesimi dati per costituire “multi-party supply chain”, catene di titolari basate su di un unico consenso;
  4. comprovare i consensi informati, in maniera specifica ed esaustiva (un esempio può essere la consent receipt indicata nel recente standard ISO 29184).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5