PRIVACY/1 IL GARANTE HA INFLITTO UNA TRIPLETTA DI SANZIONI A UN’IMPRESA
di Antonio Ciccia Messina
Punibile, per violazione della privacy, tutta la filiera del marketing selvaggio: dal committente all’intermediario fino a chi fornisce le liste dei possibili clienti.
E il committente (beneficiario della campagna promozionale e titolare del marchio reclamizzato) risponde anche se non ha mai avuto la disponibilità dei dati. Tutto ciò a prescindere da eventuali garanzie contrattualmente stabilite, le quali non coprono da eventuali sanzioni del Garante.
Sono questi i principi applicati dal Garante della privacy che ha inflitto una tripletta di sanzioni pecuniarie: all’impresa, che voleva vendere i suoi prodotti (400 mila euro); all’operatore incaricato di curare la campagna pubblicitaria (200 mila euro); alla società detentrice della banca dati con i contatti dei possibili acquirenti (90 mila euro).
I tre provvedimenti (rispettivamente n. 413, 312 e 414 del 25 novembre 2021) attestano la posizione del Garante a proposito dei contratti in uso tra gli operatori di marketing. Secondo il Garante le clausole di questi contratti, che prevedono rassicurazioni, manleve, esoneri o accolli di responsabilità, non sono opponibili al Garante, che potrà sempre accertare ruoli e responsabilità a prescindere dalle stesse.
Come è successo nel caso specifico, in cui il committente, titolare di un marchio molto noto, si è affidato a una società di servizi, la quale a cascata si è rivolta a subfornitori in possesso delle famose liste di indirizzi di posta elettronica (acquisite da società extra Ue). Nel fare ciò, però, si continuavano a mandare messaggi indesiderati a persone che hanno chiesto invano di non essere disturbati e che perciò si sono rivolti al Garante.
La principale difesa del committente è stata la sua estraneità rispetto al trattamento, ma questa linea è stata bocciata.
Il Garante ha applicato il principio che si può sintetizzare così: il committente di una campagna promozionale, indipendentemente dalla materiale apprensione dei dati, deve ritenersi titolare del trattamento, con le conseguenti responsabilità, avendo in concreto determinato le decisioni in ordine alle finalità e modalità del trattamento stesso.
Il Garante ha anche aggiunto che al titolare del trattamento non basta ricorrere a soggetti ritenuti affidabili, poiché questi deve sempre vigilare sul loro operato a maggior ragione quando ci sono altri successivi anelli della catena.
Passando all’operatore incaricato della campagna, non ha buon gioco il ping pong delle responsabilità, sostenendo che tutte le colpe ricadono sul committente: al riguardo il Garante ha sottolineato che il responsabile dal trattamento ha comunque un proprio specifico obbligo di eseguire correttamente le istruzioni ricevute, destinate alla tutela della riservatezza dei soggetti chiamati.
Quindi, la ripartizione contrattuale delle responsabilità, se può avere effetto tra le parti, non può frenare l’attività sanzionatoria del Garante.
PIANO ISPETTIVO
Smart toys, cookie, app “rubadati”. Ma anche siti di incontri, monetizzazione dei dati, database. Sono questi i nuovi settori su cui si sta sviluppando il piano ispettivo per il primo semestre 2022, approvato dal Garante privacy con deliberazione n. 452 del 22 dicembre 2021. Le attività ispettive riguardano anche i dati trattati da fornitori di database, quelli trattati mediante algoritmi e sistemi di intelligenza artificiale, la gestione dei cookies da parte delle piattaforme e dei siti web, l’uso dei sistemi di videosorveglianza. Il Garante, oltre alle ispezioni contenute nel piano, potrà svolgere ulteriori indagini d’ufficio, o sulla base di segnalazioni o reclami.
Fonte: