SMS e Marketing: la responsabilità della società committente
In data 25 novembre 2021, il Garante della Privacy ha sanzionato tre società per l’invio di messaggi promozionali in violazione della disciplina sul trattamento dei dati personali.
Esaminando la vicenda, l’Autorità ha ribadito le regole applicabili in ordine alla qualificazione dei ruoli nel trattamento e ha fornito importanti indicazioni circa la responsabilità delle società che commissionino a terzi una campagna promozionale.
L’Autorità è intervenuta su richiesta di due reclamanti, i quali lamentavano la continua ricezione di messaggi indesiderati e l’impossibilità di esercitare il diritto di accesso (art. 15 GDPR) e di opposizione (art. 21 GDPR), non essendo state fornite corrette indicazioni in merito ai soggetti coinvolti nel trattamento e alle modalità per contattarli direttamente.
Nel corso dell’istruttoria, le doglianze sono risultate veritiere e diretta conseguenza della violazione della disciplina dettata dal GDPR. Il Garante ha, inoltre, accertato che la commissione di tali illiceità era agevolata dall’adozione del meccanismo delle cd. scatole cinesi, in base al quale la società committente aveva incaricato un’azienda operante nel settore del marketing di inviare sms promozionali a potenziali clienti; quest’ultima, poi, si era avvalsa di fornitori che avevano acquisito le banche dati da terzi. In questa successione di passaggi, è emerso che i dati delle persone contattate provenivano da liste non verificate, detenute da soggetti residenti al di fuori dell’UE e costituite a partire da informazioni derivanti da registrazioni a portali informativi o concorsi online.
In sede di decisione, il Garante ha osservato preliminarmente che le società coinvolte avevano effettuato un trattamento dei dati personali, seppure in assenza di una specifica qualificazione dei ruoli e delle responsabilità; dunque, ha proceduto alla qualificazione delle parti sulla base della situazione di fatto, delle dichiarazioni da queste rese e degli elementi documentali prodotti in fase difensiva, alla luce delle definizioni fornite dall’art. 4 del Regolamento e dalle Linee guida 7/2020 dell’EDPB.
L’Autorità ha qualificato la società committente della campagna promozionale come titolare del trattamento, avendo questa determinato le finalità e le modalità dello stesso, e la società di marketing come responsabile, in quanto soggetto che operava per conto del titolare, eseguendone le istruzioni con un certo grado di autonomia, ma senza poter esercitare alcuna facoltà circa la scelta delle finalità del trattamento; in tale quadro, i proprietari delle banche dati sono stati ritenuti titolari autonomi, essendo il trattamento da questi posto in essere precedente ed indipendente da quello effettuato dalla società committente.
La mancata qualificazione dei ruoli in ordine al trattamento dei dati personali ha comportato che il trattamento stesso sia stato privato dei requisiti di liceità, correttezza e trasparenza, in violazione dell’art. 5, par. 1, lett. a) e degli artt. 12, 13 e 14 del Regolamento; infatti, non è stata fornita un’idonea informativa agli interessati e ne è stato ostacolato il pieno esercizi dei diritti, anche a causa dell’impossibilità di risalire la lunga filiera dei soggetti coinvolti per ottenere le informazioni richieste.
Con riferimento, poi, alla responsabilità della società committente, il Garante ha ritenuto non adeguato il controllo da questa esercitato sull’operato del responsabile, dal momento che non ha richiesto al partner la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento, non ha accertato la genuinità della manifestazione del consenso dei soggetti coinvolti, non ha verificato in concreto la provenienza dei dati né ha adempiuto agli obblighi di controllo aggiuntivi imposti dalla circostanza per cui i dati erano stati raccolti da soggetti stabiliti al di fuori dell’UE.
L’Autorità, dunque, ha affermato che, sebbene sia onere del titolare del trattamento avvalersi di responsabili che offrano sufficienti garanzie, ciò non basta a ridurre il grado di responsabilità in vigilando che questi deve costantemente esercitare nel corso delle attività di trattamento, soprattutto quando l’attività comporti il coinvolgimento di soggetti terzi.
Alla luce di tale decisione, è opportuno che le società che intendano avvalersi di terzi per l’invio di messaggi promozionali, come stabilito dallo stesso Garante, pongano in essere «idonee procedure volte a regolare correttamente i rapporti contrattuali con i responsabili del trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati, nonché adottando idonee procedure per garantire un pieno ed effettivo riscontro all’esercizio dei diritti».
Dunque, l’azienda committente, titolare del trattamento, deve preliminarmente verificare che la società incaricata, che ricopre il ruolo di responsabile, fornisca garanzie sufficienti circa l’adozione di misure tecniche ed organizzative adeguate; successivamente, dopo aver fornito adeguata informativa ai soggetti interessati, deve dare istruzioni al responsabile circa il trattamento dei dati a mezzo di contratto, nel rispetto dei requisiti contenutistici di cui all’art. 28 c.3 GDPR; infine, deve monitorare puntualmente l’attività di trattamento posta in essere dal responsabile, valutandone il rispetto degli obblighi contrattuali nell’ambito delle procedure di audit, anche con il supporto di un Data Protection Officer che abbia una conoscenza approfondita delle attività di trattamento.