1. Privacy e marketing Cenni sulla normativa e precedenti

E’ del 13 maggio 2021 l’ultima sanzione erogata dal Garante pari a 3 milioni di euro contro l’Iren Mercato S.p.A.

La società, operante nell’ambito dei servizi di approvvigionamento e vendita di energia elettrica, gas e calore, ha utilizzato per fini di marketing liste di contatti acquisite da società terze e ricevuto contatti di natura promozionale senza uno specifico consenso.

Infatti il consenso, come stabilito dall’art. 4 del GDPR è specifico ed inequivocabile, espresso da una precisa azione positiva che indichi la volontà dell’interessato di sottoporre i propri dati personali ad un trattamento individuato, e, quindi, in nessun caso può essere tacito.

Il tema del trasferimento dei dati a terzi per fini di marketing è ancora più delicato per il Garante, il quale ha più volte specificato, sin dal 2013, che deve esistere un unico passaggio tra i soggetti titolari.

Successivamente il Garante, con il sopracitato provvedimento sanzionatorio contro Eni Gas e Luce, ha sottolineato che il consenso rilasciato, anche per finalità di marketing di terzi, non può essere utilizzato o ceduto da ulteriori titolari.

• Il caso Iren

A seguito delle informazioni rese da Iren Mercato S.p.A. e l’istruttoria effettuata dal Garante, è stato rilevato che i dati personali trattati per le finalità di marketing erano stati raccolti da società terze rispetto ad Iren, la quale quindi non era legittimata a ri-trattare nuovamente i dati.

Inoltre si è evidenziata un’ulteriore problematicità rispetto al modo in cui il consenso era stato prestato dagli interessati, cioè senza alcuna specificità rispetto al trattamento da effettuarsi:

‘’Ciò contrasterebbe, infatti, con la stessa ratio sottesa alla previsione di uno specifico consenso con riguardo al trattamento di comunicazione, ovvero l’esercizio di quell’autodeterminazione informativa che si esprime proprio attraverso il controllo che l’interessato può effettuare sui propri dati rispetto ai rischi di una dispersione o di un utilizzo non conforme alle finalità della relativa raccolta. Non può infatti ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato stesso.’’

Nemmeno può sostenersi che il trattamento potesse essere lecito sulla base del legittimo interesse, mancando un attento e documentato bilanciamento tra diritti e interessi in gioco. Si palesa, inoltre, una chiara violazione del principio di accountability e privacy by design dato è obbligo della società valutare, sin dal momento della progettazione del trattamento, le origini e le fonti dei dati personali. Inoltre la base giuridica dell’interesse legittimo non può essere utilizzata a posteriori dal titolare del trattamento che il compito di fornire tutte le informazioni necessarie in un momento antecedente al trattamento secondo quanto previsto dall’art 13 del GDPR.

• Conclusioni

Il nuovo provvedimento del Garante, sulla scia dei precedenti, pone nuovamente l’accento sulla condotta delle società che trattano enormi quantità di dati personali senza le dovute precauzioni, ma soprattutto senza la consapevolezza delle norme che disciplinano il trattamento dei dati personali. Il profilo sanzionatorio del GDPR rappresenta uno dei punti più rilevanti del regolamento in quanto capace di delineare il corretto modus operandi.

Dott.ssa Federica Vezzi – Associate Privacy