Notizie, Eventi e Video

Approfondimento Privacy | Campagne di marketing in outsourcing: la responsabilità del titolare rimane!

  • 15 Febbraio 2022

Commissionare una campagna promozionale non esonera la società committente dal controllo sul corretto trattamento dei dati personali dei destinatari.
Lo ha ribadito, in tre recenti provvedimenti di ingiunzione, il Garante per la Protezione dei Dati Personali: tre provvedimenti, per altrettante società, relativi alla medesima vicenda.
La vicenda trae spunto da un evento assolutamente frequente: un consumatore al quale erano stati inviati numerosi messaggi promozionali (aventi come mittente il nome di una nota marca di materassi) sporge reclamo al Garante.

Il consumatore aveva provato a contattare la società titolare del marchio al fine di esercitare i diritti previsti dal GDPR (Regolamento UE 679/2016), ma il riscontro non era stato positivo: all’interessato veniva risposto che il servizio di invio di SMS promozionali era stato affidato a una società esterna, invitandolo a contattare direttamente la medesima per vedersi cancellare dalle liste.
Questa, a sua volta, riferiva di aver recuperato l’elenco da fornitori di database, comunicando di inoltrare la richiesta di cancellazione direttamente alla società fornitrice delle liste.

A seguito dell’attività ispettiva del Garante, l’Autorità non soltanto confermava l’esistenza di un sistema che rendeva praticamente impossibile per l’interessato esercitare i diritti previsti dal Regolamento europeo (nello specifico, diritto di opposizione al trattamento e diritto alla cancellazione dei dati), ma accertava, altresì, che i dati dei soggetti da contattare provenivano da elenchi di cui non poteva verificarsi in alcun modo la liceità di raccolta e del consenso espresso.
Pertanto, il Garante ha ingiunto alla società di marketing la sanzione amministrativa di € 200.000.

La società titolare del marchio, invece, tentava di giustificarsi di fronte all’Autorità dichiarando di avere dato incarico alla società di marketing, ma di non essere a conoscenza di come questa operasse e delle violazioni che venivano perpetrate in tema di protezione di dati personali.
Circostanza vera, ma comunque non sufficiente per esentarla da responsabilità.
Difatti, per il Garante una tale giustificazione non può essere ritenuta valida, avendo il titolare del trattamento obblighi in senso diametralmente opposto: è suo espresso dovere verificare la liceità e la sicurezza delle operazioni di trattamento affidate per suo conto a terzi.
Il titolare deve, quindi, essere certo che ogni operazione esternalizzata rispetti comunque la normativa europea e nazionale in tema di protezione di dati personali.
Per tali ragioni, in qualità di titolare del trattamento, la committente è stata condannata al pagamento di un importo doppio a quello ingiunto alla società di marketing, pari a € 400.000.

- - - 
Approfondimento a cura dello Studio Avvocati D'Agostini di Udine che collabora con Friuli Innovazione nell'ambito dello sportello ICT Digital Law

 

Hai qualche domanda? Scrivici!