Una recente sanzione ha portato alla luce tutte le fragilità dell’attuale sistema di gestione dei dati personali utilizzato da molte aziende
Lo scorso luglio il Garante Privacy ha emanato un nuovo provvedimento che ha come oggetto una sanzione verso una società per aver esercitato attività di marketing senza consenso. In particolare, la società acquisiva i dati degli utenti mediante form online in fase di registrazione al suo sito internet per l’invio di newsletter senza richiedere uno specifico consenso per tale finalità, generando dubbi su quale fosse l’effettivo scopo del trattamento dei dati personali – di fatto promozionale – e quali mezzi siano stati utilizzati per il suo perseguimento.
La novità del caso consiste nella specifica menzione, all’interno del provvedimento, del nome del fornitore che gestisce la conformità dei siti alle normative per la privacy e il trattamento dati. Il che evidenzia una serie di importanti debolezze del sistema di gestione attuale delle policy legate ad attività di marketing nelle aziende. Con questa sanzione, il Garante mette in luce le lacune dei tool generativi, scelti da molte realtà aziendali per gestire il processo di certificazione, dovute a una mancata consapevolezza sull’uso di tali sistemi, aggravata dall’assenza nell’organico aziendale di figure legali specializzate come i consulenti privacy. Un sistema di fatto fondato sull’autocertificazione, a danno non solo dei consumatori ma soprattutto della stessa integrità del business aziendale, in termini economici e reputazionali.
La sanzione del Garante evidenzia come affidarsi a delle società terze per la raccolta e il trattamento dei dati o utilizzare dei componenti automatici e standardizzati integrati all’interno dei siti web non metta al riparo dai controlli e non assicuri il rispetto delle norme dell’Autorità, se non si è verificata la competenza legale di questi soggetti e il pieno rispetto della normativa sulla privacy.
Dinamica della fattispecie in questione
Il soggetto reclamante sosteneva di ricevere continue chiamate promozionali e contatti senza aver dato un consenso a queste attività di marketing. Inoltre lamentava la mancanza di riscontro da parte dell’azienda in relazione alle sue richieste di eliminazione dei dati personali. La società, di contro, sosteneva di affidarsi ad agenzie esterne per raccolta dei dati e attività promozionali per cui non riteneva di essere direttamente coinvolta nel problema riscontrato dal cliente.
Il Garante ha ritenuto infondate queste giustificazioni perché è responsabilità della società effettuare controlli e monitorare che le aziende terze, cui sono affidati i servizi di acquisizione dei dati e di gestione delle campagne di marketing, seguano l’iter in modo coerente e nel rispetto della normativa vigente sulla privacy pur avvalendosi di aziende terze per l’acquisizione di dati e per la gestione delle campagne di marketing, i fornitori terzi rientrerebbero comunque in un unico complesso disegno economico che ha l’obiettivo di aumentare la vendita di prodotti e servizi della società.
Per tali motivi il Garante ha stabilito una sanzione alla società pari a 5000 euro.