Esaminando i presupposti alla base di alcune campagne promozionali effettuate mediante l’inoltro di SMS, l’Autorità ha avuto modo di rimarcare i principi applicabili alla qualificazione dei ruoli nel trattamento dei dati personali e, altresì, fornire preziose indicazioni con riferimento all’acquisizione probatoria del consenso rilasciato dagli interessati.
Il Garante Privacy ha sanzionato per 400.000,00 euro la società committente e titolare del trattamento, per non aver mai verificato che l’azienda incaricata dell’attività promozionale avesse eseguito correttamente le istruzioni previste nel contratto. Alla seconda società, fornitrice del servizio di marketing, l’Autorità ha vietato l’uso di dati provenienti da fonti che non rispettassero i requisiti minimi di legittimità, imponendo una sanzione di 200.000,00 euro. Una terza società, coinvolta nell’istruttoria per aver originariamente acquisito i dati in esame, ha ricevuto una sanzione di 90.000,00 euro per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di precedente sanzione.
Il caso di specie
La vicenda sottesa all’emanazione delle tre ordinanze ingiunzione in esame prende avvio a seguito di due reclami per mezzo dei quali si lamentavano la continua ricezione di messaggi SMS indesiderati e la sostanziale impossibilità di esercitare i diritti di opposizione e di accesso.
Tali doglianze, come appurato per mezzo dell’espletata attività istruttoria, risultavano veritiere e diretta conseguenza di una serie di palesi illiceità nelle quali erano incorsi i soggetti coinvolti nella vicenda di specie. Illiceità “agevolate” dalla complessa rete contrattuale riscontrata, caratterizzata dalla presenza di una società committente promotrice della campagna marketing che, a tal fine, incaricava un’azienda del settore di inviare SMS promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri fornitori, che a loro volta avevano acquisito le banche dati da soggetti terzi.
Le difese delle società coinvolte
Sul punto valga la pena soffermarsi, inizialmente, sul tenore delle difese assunte dalla società committente della campagna promozionale in esame. Quest’ultima, infatti, dichiarava di non aver mai avuto la materiale apprensione dei dati personali e di essersi sostanzialmente limitata ad incaricare una società operante in ambito marketing al fine di reperire delle liste di contatto e provvedere materialmente all’invio degli SMS.
La società fornitrice del servizio, dal canto suo, sosteneva di aver operato quale responsabile del trattamento per conto dei soggetti che avevano realizzato le banche dati (c.d. “list provider”) e che sarebbero proprio questi ultimi a doversi considerare quali unici titolari del trattamento. La medesima società, inoltre, tentava di giustificare il proprio operato anche in relazione al consenso prestato dagli interessati, sostenendo di aver eseguito delle verifiche a campione rispetto alle liste con cui era entrata in contatto al fine di verificare la sussistenza dei requisiti applicabili in materia.
Gli accertamenti del Garante Privacy ed i principi espressi
Confrontando le prospettazioni e la documentazione, anche contrattuale, prodotta dalle summenzionate società, il Garante Privacy non poteva esimersi dal rilevare preliminarmente come, seppur le parti non si fossero “attribuite” alcuna qualificazione nel trattamento dati in analisi, le stesse avessero comunque eseguito tale trattamento, pur con ruoli e responsabilità differenti, discostandosi nei fatti da quanto pattuito.
Come noto, infatti, indipendentemente dalla qualificazione contrattuale dei ruoli, è titolare il soggetto che “determina le finalità (why) e i mezzi, cioè le modalità (how), del trattamento; è invece da considerarsi responsabile il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza tuttavia poter esercitare alcuna facoltà in ordine alla scelta delle finalità”. Derivandone, quindi, che il committente di una campagna promozionale, indipendentemente dalla materiale apprensione dei dati, deve ritenersi titolare del trattamento avendo in concreto determinato le decisioni in ordine alle finalità e modalità del trattamento stesso; al contrario, la società fornitrice che agisce in via delegata per conto della suddetta committente è inquadrabile come responsabile.
In tale quadro, i proprietari delle banche dati agiscono quali titolari autonomi dal momento che il trattamento da loro posto in essere (raccolta, conservazione e trasmissione a terzi dei dati) è precedente e del tutto indipendente dal trattamento promozionale svolto dalla committente.
Con riguardo alla liceità dei consensi asseritamente espressi dagli interessati, l’Autorità ha avuto modo di osservare che l’indicazione di una data e un indirizzo IP, senza alcun altro riferimento, potrebbe al massimo indicare la data di avvenuta registrazione nel sito ma non anche documentare la prestazione di uno o più specifici consensi. Del resto, la documentazione del consenso tramite l’indicazione del solo indirizzo IP è una modalità che il Garante ha già ritenuto insufficiente a certificare la volontà inequivocabile degli interessati (cfr. provvedimento del 26 ottobre 2017), esistendo invece alternative più idonee a garantire un maggior grado di certezza circa la genuinità della manifestazione del consenso (come la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione).
Parimenti, è da considerarsi illecita l’espressione di un consenso al trattamento per mezzo di un’unica formulazione comprensiva dell’accettazione dei termini contrattuali.
Da ultimo, il Garante Privacy ha altresì rilevato come, nel caso in cui i dati vengano raccolti da soggetti stabiliti al di fuori dell’UE, salvo sussistano le prescritte eccezioni, è necessario informare gli interessati in merito al rappresentante individuato dal titolare nell’Unione, che deve avere sede in uno degli Stati membri in cui si trovano gli interessati e i cui dati sono trattati (cfr. art. 27 GDPR).